一、常见的web前端攻击方式有哪些?
1. XSS 跨站请求攻击(Cross Site Scripting)
- 通俗解释
在网站上注入自己的javascript脚本,执行非法操作。
- 简易场景
一个博客网站,我发表一篇博客,其中嵌入
<script>
脚本脚本内容:获取cookie,发送到我的服务器(服务器配合跨域)
发布这边博客,有人查看它,我就能轻松的获取访问者的cookie信息
2. XSRF 跨站请求伪造[Cross-site request forgery]
- 通俗解释
跨站伪造用户的请求,模拟用户的操作。
- 简易场景
用户正在购物,看中的某个商品,商品id是100
付费接口是xxx.com/pay?id=100,但是没有任何验证
攻击者,看中一件商品,id=200
攻击者向你发送一份电子邮件
邮件正文隐藏
<img src="xxx.com/pay?id=200">
用户查看邮件,就直接帮攻击者购买了id为200的商品。
- 预防
- 使用post接口,没法使用get进行接口请求。
- 增加验证,秘钥、短信验证、支付验证、指纹等