面试准备 安全类

CSRF 跨站请求伪造 Cross-site request forgery

攻击原理：   网站中某一个接口存在漏洞 （利用本身漏洞执行接口）

　　　　　　这个用户在那个注册网站确实登录过 （依赖）

防御原理：  Token验证 //访问后  服务器向本地储存一个Token 

　　　　　　Referer验证  //页面来源验证，检查是否为本站点下面

　　　　　　隐藏令牌    //类似Token  比如隐藏在http  header上  不是url上

 

XSS  跨域脚本攻击 CrossSiteScript

攻击原理 ：不需要任何登录验证，页面注入脚本，页面合法渠道注入js代码

比如评论发表点击按钮

防御措施： 插入的js不执行

 

他俩的区别：