网络安全 ​

XSS 攻击 ​

xss 是跨站脚本攻击，攻击者在目标网站上注入恶意脚本，在用户访问时执行脚本，从而危害数据安全。常见的攻击方式有三种

1. 存储型 XSS，攻击者将恶意代码提交到服务器，数据库，当用户访问时返回给浏览器恶意代码，常见于发帖 评论
2. 反射型 XSS，修改 url 参数 加入攻击代码,常见于搜索，跳转
3. DOM 型 XSS 前端页面中可输入的地方 如输入框加入攻击代码，页面执行时 恶意代码字符通过 innerhtml onload href 等漏洞执行

防御 ​

1. httpOnly: 在 cookie 中设置 HttpOnly 属性后，js 脚本将无法读取到 cookie 信息
2. 对用户的输入，服务器的输出进行校验、过滤
3. 特殊字符编码转译
4. 针对富文本等复杂的采用白名单过滤
5. 内容安全策略（CSP）

CSRF 攻击 ​

跨站请求伪造，盗用用户身份，发送恶意请求。

1. 登录受信任网站 A ，并在本地生成保存 Cookie；
2. 在不登出 A 情况下，访问病毒网站 B；

防御 ​

1. 验证码，强制用户必须与应用交互后才能完成请求
2. 限制 referer，严格限制来源，但是不能 100%有限，因为服务器不是什么时候都能取到 referer 低版本可以伪造 referer
3. token(最佳)