前端面试之3-14 安全类

安全类：CSRF XSS 

CSRF

概念要知道，英文没必要。

重点说一下攻击原理，用户是网站A的一个注册用户，就是有用户名和密码。需要登录网站，身份认证，网站A核查这个身份是不是正确的。如果正确就下发cookie，这个cookie会保存在浏览器当中。这就是完成一次身份认证过程，用户又访问一个网站B，网站B下发用户页面的时候，存在一个引诱点击。这个点击往往是一个链接。这个链接指向的是网站A的一个API接口。尤其是这个API接口是get类型，比如说www.imocc.com/ 这是一个借口，往往指向存在漏洞的接口。用户禁不住引诱，点击的话，就进入了A网站。了解 cookie原理的话，访问A网站链接的时候，浏览器会自动上传cookie，网站A对身份重新确认，是合法用户，就执行接口的动作，像新浪出现的一次攻击，就是CSRF攻击。用户一定是在注册网站登录过，否则访问接口的话，网站会提醒你登陆。

攻击成功原理：第一 网站中某个接口存在漏洞，第二用户确实在这个网站登录过。

怎么防御：

在访问接口的时候，浏览器自动生成cookie，但是没有手动的自动上传一个Token，这个Token你注册成功以后，或者你没有注册，只要你访问这个网站的话，服务器自动向你本地存储一个Token，在你访问各种接口的时候，如果你没有带这个Token的话，不能让你通过验证， 如果只是点击引诱连接，会自动带cookie，但是没有token，避免的攻击。

第二个Referer验证，也就是页面来源，服务器判断，页面来的是不是自己站点下面的页面，如果是自己站点下下面的页面，是的话，执行这个动作，如果不是一律拦截。

隐藏令牌，其实跟Token有点像。比如隐藏在http头中，不会放在链接上。这样做的比较隐蔽。本质没有太大区别，只是使用方式有差别。

英文随意，汉语要记住。

自行点击链接学习。http://www.imooc.com/learn/812 

攻击原理，如CSRF区别是，不需要任何登录认证，核心原理是向你的页面注入脚本、比如有评论区，注入了xss，提交区里写上script标签，写image标签，image上面加事件。总之方法就是利用合法的渠道，向你页面注入js。

防御措施：核心宗旨，就是让你插入的js不可执行。

让你对比CSRF和XSS区别：

xss向你页面注入js运行，js函数体里面做他想做的事情。

csrf 利用你本身的漏洞去帮你自动执行那些接口。这两个攻击方式不一样。而且这个依赖用户登录网址。

三个点：名称中文，原理，防范措施。言简意赅。很重要的知识面，但是难度不大。