【网络攻防】xss 脚本注入、csrf 跨域请求伪造

1. xss 脚本注入

不需要你做任何的登录认证，他会通过合法的操作（比如： url 中输入，在评论框输入），向你的页面注入脚本（可能是 js、html 代码块等）。

xss 防御

编码： 对用户输入的数据进行 HTML Entity 编码（字符转义编码）。把字符转换成转义符，编码的作用是将一些字符进行转义，使得浏览器在最终输出的结果上是一样的。

HTML 实体是一段以连字号（&）开头、以分号（;）结尾的文本（字符串）。实体常常用于显示保留字符（这些字符会被解析为 HTML 代码）和不可见的字符（如“不换行空格”

• 不可分的空格：&nbsp；
• <（小于符号）：&lt；
• >（大于符号）：&gt；
• &（与符号）：&amp；
• ″（双引号）：&quot；
• ‘（单引号）：’&apos；
• ©（版权符号）&copy；

过滤： 移除用户输入事件和相关的属性。

2. csrf 跨域伪造

在未退出 A 网站的前提下访问 B，B 网站使用 A 网站的 cookie 去访问服务器，就是跨域伪造。

防御： token。每次用户提交表单的时候都带上token（伪造者访问不到），如果token不合法，则服务器拒绝访问。