CSRF
跨站请求伪造,伪造用户发起请求。比方说b页面有用户的信息,a页面对b页面发起请求,请求中带有目标页面也就是b页面的cookie,从而伪造请求
解决
- 设置samesite属性,不允许cookie随着跨域请求发送
- referer check 检查请求refer,不过无法预防xss攻击
- 请求加签
- 验证码
XSS
跨站脚本攻击,通过给别人发送带有恶意脚本代码参数的url或者是表单提交
解决:
- 设置Header中的Content-Security-Policy,明确告诉浏览器哪些资源可以加载和执行