xss和csrf防范（待填坑）

xss跨站脚本攻击（Cross-site scripting）

攻击类型

反射型，发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后解析执行XSS代码。这个过程想一次反射，故叫做反射型XSS
存储型，与反射型的区别仅在于，提交的代码回存储在服务器端（数据库，内存，文件系统等），下次请求代码时，不需要再提交xss代码。
防范
1. 反射型的防范，通过过滤来实现。对 &，引号，尖括号，斜杠进行转义。
```
function escape(str) {
str = str.replace(/&/g, "&amp;");
str = str.replace(/</g, "&lt;");
str = str.replace(/>/g, "&gt;");
str = str.replace(/"/g, "&quto;");
str = str.replace(/'/g, "&#39;");
str = str.replace(/`/g, "&#96;");
str = str.replace(/\//g, "&#x2F;");
return str
}
```
2. cookie 设置http-only，禁止js获取cookie
3. 启用CSP内容安全策略，配置网络服务器返回 Content-Security-Policy HTTP头部来开启 CSP。 CSP通过指定资源、脚本的有效来源，使服务器管理者有能力减少或消除XSS攻击所依赖的载体。浏览器将会仅执行从白名单域获取到的脚本文件，忽略所有的其他脚本 (包括内联脚本和HTML的事件处理属性)。
```
Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; 
script-src userscripts.example.com; report-uri http://reportcollector.example.com/collector.cgi
```
  也可以配置元素
```
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; 
child-src 'none';">
```
  CSRF跨站请求伪造攻击（Cross-site request forgery）
  
  是一种挟制用户在已登录的Web应用程序上执行非本意的操作的攻击，也就是利用用户的登录态发起恶意请求。它利用了服务器对客户端的信任。
  
  防范
4. 验证请求头的Referer字段，判断请求是否来自第三方网站。如本网站发出的请求，请求头中有：
```
Referer: https://github.com/HolyZheng/holyZheng-blog/issues/16
```
5. 验证码或token

场景：恶意网站上诱惑用户点击，用户点击后会在用户不知情的情况下向某个服务器发送请求。

给cookie设置 SameSite：规定浏览器不能再跨域请求中携带cookie，减少csrf攻击

HolyZheng / holyZheng-blog

xss和csrf防范（待填坑） #16

xss跨站脚本攻击（Cross-site scripting）

攻击类型

防范

CSRF跨站请求伪造攻击（Cross-site request forgery）

防范