CSRF攻击与XSS攻击

CSRF攻击

什么是CSRF攻击
跨站请求伪造，盗用他人的登录信息发送请求。要实现CSFR攻击需要满足以下条件：
用户登录目标站点，处于登录状态，用户身份验证信息都存储在cookie中，此时访问危险站点就有被攻击的风险
用户的登录的身份验证信息存储在cookie中，黑客就可以在不知道验证信息的情况下盗用用户的cookie完成身份验证。
防护方法：
服务器做接口校验，用户登录后服务器返回一个token给客户端，客户端每次请求时将token放入请求头中提交给服务器校验。

XSS攻击

什么时XSS攻击
跨站脚本攻击，黑客通过往Web页面中插入恶意的javascript脚本，当用户访问此网页时便会执行恶意代码，从而达到恶意攻击用户的目的。
大体分为两种：反射型，存储型
存储型XSS攻击
存储型XSS攻击是黑客事先将恶意代码上传至漏洞服务器，之后所有访问该页面的用户都会受到攻击，因此危害更大
反射性XSS攻击
反射性XSS攻击是通过诱导用户点击含有恶意代码的url，仅对当前用户进行一次性攻击。
防护方法：
不论是反射型攻击还是存储型，攻击者总需要找到两个要点，即“输入点”与"输出点 "，也只有这两者都满足，XSS攻击才会生效。“输入点”用于向 web页面注入所需的攻击代码，而“输出点”就是攻击代码被执行的地方。
前台页面对所有的用户输入点做特殊字符校验，过滤掉前台输入恶意代码的可能，同时后台入库时同样对特殊字符进行校验，禁止入库。