XSS
跨站脚本攻打:黑客通过 html 注入,篡改网页,插入歹意脚本。
反射型 XSS:用户输出的数据,反射给浏览器。非持久性。
存储型 XSS:用户输出的数据存储在服务器端。稳定性。
举例:歹意 js 代码博客
DOM:通过过批改 DOM 节点
XSS 进攻
对 cookie 做爱护,设置 httpOnly
输出查看,称为 XSS filter
输入查看,输入到 html 页面时
特殊字符转换
CSRF
跨站申请伪造:利用用户身份操作用户账户
CSRF 进攻
验证码
随机 token