前端安全问题之CSRF和XSS

一、CSRF

1、什么是 CSRF

CSRF（全称 Cross-site request forgery），即跨站请求伪造

2、攻击原理

用户登录A网站，并生成 Cookie，在不登出的情况下访问危险网站B

3、防御措施

① 加 Token 验证，通过判断页面是否带有 Token 来进行验证

② 加 Referer 验证，通过判断页面的来源进行验证

③ 隐藏令牌，即把 Token 隐藏在 http 的 head 头中

二、XSS

1、什么是 XSS

XSS（全称 Cross Site Scripting），即跨域脚本攻击

2、攻击原理

通过合法的操作向页面注入 JS

3、防御措施

通过过滤、校正等方式阻止这个 JS 的执行

• 编码
• 过滤
• 校正

三、CSRF 和 XSS 的区别

1、CSRF 需要用户登录，XSS 不用

2、CSRF 利用页面的漏洞去执行接口，而 XSS 通过注入 JS