1、CSRF攻击
CSRF即Cross-site request forgery(跨站请求伪造)
(1)为了防止这种攻击,表单一般都带有一个随机 token,告诉服务器这是真实请求。
<form action="your-bank.com/transfer" method="POST"><input type="hidden" name="token" value="dad3weg34">...
</form>
(2)设置了Strict
或Lax
以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。
(3)验证 HTTP Origin或Referer 字段,记录了该 HTTP 请求的来源地址。缺点:Referer 值是由浏览器提供的。对于某些浏览器,比如 IE6 ,目前已经有一些方法可以篡改 Referer 值。用户自己也可以设置浏览器使其在发送请求时不再提供 Referer。
2、XSS攻击
XSS即Cross Site Scripting(跨站脚本攻击),攻击者通过各种方式将恶意代码注入到用户的页面中,这样就可以通过脚本进行一些操作。