## XSS跨站腳本攻擊 ### 原理 Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面里插入惡意 html標簽或者javascript代碼，從而使其他用戶的頁面運行這些惡意代碼導致信息竊取或者執行危險操作。 ### 防護 - 對所有用戶提交內容進行可靠的輸入驗證 - 通過使cookie 和系統ip 綁定來降低cookie 泄露后的危險。這樣攻擊者得到的cookie 沒有實際價值，不可能拿來重放。 - 如果網站不需要再瀏覽器端對cookie 進行操作，可以在Set-Cookie 末尾加上HttpOnly 來防止javascript 代碼直接獲取cookie 。 ## CSRF跨站請求偽造 ### 原理 攻擊者通過一些技術手段欺騙用戶的瀏覽器去訪問一個自己曾經認證過的網站并執行一些操作（如發郵件，發消息，甚至財產操作如轉賬和購買商品）。由于瀏覽器曾經認證過，所以被訪問的網站會認為是真正的用戶操作而去執行。這利用了web中用戶身份驗證的一個漏洞：簡單的身份驗證只能保證請求發自某個用戶的瀏覽器，卻不能保證請求本身是用戶自愿發出的。 ### 防御措施 - 檢查referer字段 HTTP頭中有一個Referer字段，這個字段用以標明請求來源于哪個地址。在處理敏感數據請求時，通常來說，Referer字段應和請求的地址位于同一域名下。 - 添加校驗token 由于CSRF的本質在于攻擊者欺騙用戶去訪問自己設置的地址，所以如果要求在訪問敏感數據請求時，要求用戶瀏覽器提供不保存在cookie中，并且攻擊者無法偽造的數據作為校驗，那么攻擊者就無法再執行CSRF攻擊。這種數據通常是表單中的一個數據項。服務器將其生成并附加在表單中，其內容是一個偽亂數。當客戶端通過表單提交請求時，這個偽亂數也一并提交上去以供校驗。正常的訪問時，客戶端瀏覽器能夠正確得到并傳回這個偽亂數，而通過CSRF傳來的欺騙性攻擊中，攻擊者無從事先得知這個偽亂數的值，服務器端就會因為校驗token的值為空或者錯誤，拒絕這個可疑請求。