XSS——跨站脚本

当目标站点在渲染html的过程中，遇到陌生的脚本指令执行。

攻击者通过在网站注入恶意脚本，使之在用户的浏览器上运行，从而盗取用户的信息如 cookie 等。

常见

解决

对于用户提交的参数 或者输入的内容没有很好的过滤

黑名单过滤 白名单过滤（用户名密码）

输出转义：

cookie 设置为http-only
这样js脚本就不能读取到cookie

CSRF ——跨站请求伪造

本质是利用了 cookie 会在同源请求中携带发送给服务器的特点，以此来实现用户的冒充。

常见

解决

reffer token 短信验证

黑客和本地不同源
拦截器检查reffer 但是可以伪造