一、CSRF-跨站伪造请求(Cross Site Request Forgery)
场景:登录系统后,点击了页面上的未知链接(钓鱼网站),钓鱼网站就会主动向你的网站发起请求,这个时候你的登录态还是存在的,因为浏览器的不同进程之间可以共享登录态,所以钓鱼网站这个时候是可以顺利以你的身份任意访问你的网站的接口。
预防:目前常用的方法是在请求头中加入token登录状态字段。
二、XSS-跨站脚本攻击(Cross SiteScript)
场景:在用户输入的文本或页面HTML标签中插入可运行的恶意js脚本来操纵用户界面或盗取用户信息。
预防:
1、设置白名单过滤一些敏感的标签和属性。
2、对一些标签或特殊字符进行转义,如'>、<、&、"、/'等。
3、对用户的输入信息进行强校验。
三、本地存储数据问题
预防:对存放到cookie或者localStorage里的信息要进行加密。