XSS
XSS 也稱跨站指令碼攻擊 (Cross Site Scripting),惡意攻擊者往 Web 頁面裡插入惡意 JavaScript 程式碼,當使用者瀏覽該頁之時,嵌入其中 Web 裡面的 JavaScript 程式碼會被執行,從而達到惡意攻擊使用者的目的。
XSS 防禦
- 第一種,對使用者提交的資料進行過濾;
- 第二種,Web 網頁顯示時對資料進行特殊處理,一般使用 htmlspecialchars() 輸出。
CSRF
跨站請求偽造(英語:Cross-site request forgery)是一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法。
CSRF 防禦
- 驗證 HTTP Referer 欄位
- 請求新增 token 並驗證(laravel使用這種)
參考
6.5. XSS 安全漏洞 |《L02 Laravel 教程 - Web 開發實戰進階 ( Laravel 6.x )》| Laravel China 社群
本作品採用《CC 協議》,轉載必須註明作者和本文連結