CSRF和XSS

CSRF：跨站请求伪造 （cross-site request forgery)

cookie伪造

用户在注册网站登录过 引诱点击(链接自动携带cookie)

防御：

加token验证

referer验证 页面来源 是否来自该站点下的页面

隐藏令牌 (类似于token  放在http请求头中)

 

XSS：跨域脚本攻击（cross-site scripting）

脚本攻击（对输入输出的验证不充分）

不需要任何登录

防御：

react、vue等对代码进行转义

react避免使用dangerouslySetInnerHTML（不会进行转义 容易被xss攻击）

服务端必须对前端参数做一些验证，包括但不限于特殊字符转义、标签、属性白名单过滤等

 

区别：xss向页面注入js脚本 csrf利用本身的漏洞，需要登录过

 

XSS攻击原理及防范措施：http://www.imooc.com/learn/812