4. XSS和CSRF攻击

XSS 跨站脚本攻击

原理：恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

手段

将js代码通过输入框等插入网页

防御

验证输入

CSRF 跨站请求伪造

原理：攻击者会伪造一个请求（这个请求一般是一个链接），然后欺骗目标用户进行点击，用户一旦点击了这个请求，整个攻击就完成了

防御

• 设置跨域
• token机制
• cookie的sameSite