摘要：攻擊及防御中文名稱跨站請(qǐng)求偽造，攻擊者盜用客戶的身份，以客戶名義發(fā)送惡意請(qǐng)求。攻擊及防御全稱跨站腳本攻擊，就是通過(guò)向網(wǎng)站寫(xiě)入腳本來(lái)實(shí)現(xiàn)攻擊。后端接收請(qǐng)求時(shí)，驗(yàn)證請(qǐng)求是否含有攻擊請(qǐng)求，并對(duì)攻擊請(qǐng)求進(jìn)行截取屏蔽。

                            CSRF攻擊及防御:

CSRF 中文名稱：跨站請(qǐng)求偽造，攻擊者盜用客戶的身份，以客戶名義發(fā)送惡意請(qǐng)求。

產(chǎn)生原因：如圖

當(dāng)用戶訪問(wèn)一個(gè)安全的網(wǎng)站A，A返回給客戶端一個(gè)正確的cookie，但是用戶在沒(méi)
有登出A的網(wǎng)站情況下登錄B危險(xiǎn)網(wǎng)站，B要求訪問(wèn)第三方站點(diǎn)，這時(shí)候會(huì)通過(guò)用戶
向安全的網(wǎng)站那A發(fā)出一個(gè)不合理的危害請(qǐng)求，這時(shí)候由于請(qǐng)求帶著cookie A不
知道這是危險(xiǎn)網(wǎng)站發(fā)出的，以為是用戶正常發(fā)出的，導(dǎo)致危害。

防御方法：

①：利用攻擊者不能獲得第三方的Cookie(理論上)，在頁(yè)面增加加密的cookie值，以及Hash值，當(dāng)發(fā)送請(qǐng)求的時(shí)候服務(wù)器對(duì)加密的cookie進(jìn)行驗(yàn)證，并驗(yàn)證hash以便確認(rèn)是真正客戶。
②： 每次的用戶提交都需要用戶在表單中填寫(xiě)一個(gè)驗(yàn)證碼，這樣可以有效的防止其他網(wǎng)站惡意攻擊。

                XSS攻擊及防御:
            

XSS全稱跨站腳本攻擊，就是通過(guò)向網(wǎng)站寫(xiě)入js腳本來(lái)實(shí)現(xiàn)攻擊。攻擊者在Web頁(yè)面里插入惡意html代碼，當(dāng)用戶瀏覽該網(wǎng)頁(yè)時(shí)，嵌入其中代碼會(huì)被執(zhí)行，從而達(dá)到攻擊用戶的目的。

XSS分兩種類型：
① 非持久性攻擊：
在URL的后面拼接 那么用戶打開(kāi)此鏈接，就會(huì)直接執(zhí)行js，這種攻擊都是一次性的，誘使別人點(diǎn)擊，從而通過(guò)執(zhí)行腳本，獲取對(duì)方的cookie。你得到對(duì)方的cookie后，就可以為所欲為了。

② 持久性攻擊：
這種攻擊就不是在url上下手了，而是直接把注入代碼寫(xiě)到網(wǎng)站數(shù)據(jù)庫(kù)中。有些網(wǎng)站呢，是內(nèi)容生成網(wǎng)站，比如很多的博客站，此時(shí)，如果不對(duì)用戶輸出的內(nèi)容加以過(guò)濾，就可以注入一些js腳本內(nèi)容。這樣，別人看到這篇博客時(shí)，已經(jīng)在執(zhí)行他寫(xiě)的js腳本了。（新浪種過(guò)大招。。）

解決方案：
①：前端后端在顯示數(shù)據(jù)和存儲(chǔ)數(shù)據(jù)的時(shí)候，對(duì)標(biāo)簽進(jìn)行轉(zhuǎn)義過(guò)濾，比如將