# web 安全
# XSS 跨站请求攻击
比如发表一篇获取 cookie 的文章,只要有人阅读,就获取阅读者的 cookie 信息和用户信息,发送到我的服务。
预防方法 避免用户输入内容作为脚本被执行。
- 替换特殊符号, 如 < 变为<, > 变为 & gt;
- < script> 变为 & lt; < script> & gt; 直接显示,而不作为脚本执行.
# XSRF 跨站请求伪造
A 用户登录,taobao 网站,黑客给 A 用户发送了一个 商品购买的链接。< img src="www.taobao.com/pay?id=20"> A 点击图片购买成功。此时 A 就遭到了攻击。
预防方法
- 使用 post 接口 防止通过 get 请求被攻击。
- 增加验证 例如密码 短信验证码 指纹等。