[JavaScript知识库]xss攻击和csrf攻击

xss攻击：跨站脚本攻击

三种攻击方式：注入式攻击、反射型攻击、基于DOM的xss攻击

解决方式：过滤及转码；csp内容安全策略，通过头部或meta指定哪些脚本可以执行；httponly，只允许http请求携带cookie，不允许javascript获取cookie

csrf攻击：跨站请求伪造攻击

漏洞在于发送http请求会自动携带同源的cookie

所在在用户登录一个A网站后，再去浏览器一个恶意B网站的过程中，如果发起了对A网站的请求，即使是由B网站发起的，也会自动携带A网站的cookie，从而完成csrf攻击

解决方法：

不允许第三方网站携带cookie，头部samesite字段

验证发送请求的网站来源，头部origin字段

csrf token，在发送A网站的请求时，需要携带这个token，第三方网站无法携带这个token