XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。
攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行
,从而达到恶意攻击用户的目的。
如盗取用户 cookie、破坏页面结构、重定向到其他网站等。
预防 XSS 的核心是必须对输入的数据做过滤处理。
CSRF:Cross-Site Request Forgery(跨站请求伪造),
可以理解为攻击者盗用
了你的身份,以你的名义发送恶意请求。
比如:以你名义发送邮件、发消息、购买商品,虚拟货币转账等。