CSRF(Cross-site request forgery):跨站請求僞造
攻擊者盜用了用戶的身份,以用戶的名義發送惡意請求,包括:以用戶的名義發送郵件,發消息,盜取用戶賬號。
防止措施:
(1)檢查報文中的Referer參數,確保請求發送自正確的網站。
(2)對於任何重複的請求,都需要重新驗證用戶的身份。
(3)創建一個唯一的令牌(Token),將其存在服務端的session中以及客戶端的cookie中,對於任何請求都檢查二者是否一致。
XSS(Cross Site Scripting):跨站腳本攻擊
通過插入惡意腳本,實現對用戶瀏覽器的控制。
防止措施:
(1)瀏覽器自身可以識別簡單的XSS攻擊字符串,從而阻塞簡單的XSS攻擊。
(2)消除XSS漏洞。
(3)拒絕點擊非知名網站的鏈接。