xss:跨站點攻擊。xss攻擊的主要目的是想辦法獲取目標攻擊網站的cookie,因為有了cookie相當於有了session,有了這些信息就可以在任意能接進互聯網的PC登陸該網站,並以其他人的身份登陸做破壞。預防措施防止下發界面顯示html標簽,把</>等符號轉義。
csrf:跨站點偽裝請求。csrf攻擊的主要目的是讓用戶在不知情的情況下攻擊自己已登錄的一個系統,類似於釣魚。如用戶當前已經登陸了郵箱或bbs,同時用戶又在使用另外一個,已經被你控制的網站,我們姑且叫它釣魚網站。這個網站上面可能因為某個圖片吸引你,你去點擊一下,此時可能就會觸發一個js的點擊事件,構造一個bbs發帖的請求,去往你的bbs發帖,由於當前你的瀏覽器狀態已經是登陸狀態,所以session登陸cookie信息都會跟正常的請求一樣,純天然的利用當前的登陸狀態,讓用戶在不知情的情況下,幫你發帖或干其他事情。預防措施,請求加入隨機數,讓釣魚網站無法正常偽造請求。