xss

xss是什么呢，說白了就是瀏覽器在不應(yīng)該執(zhí)行js的地方，被惡意插入了js代碼，從而執(zhí)行了一些本來不想執(zhí)行的js代碼。
既然是js代碼，那就必須有路徑進(jìn)入
1，url
2，get post 請(qǐng)求
防范：
1， 從url獲取的信息，前端進(jìn)行對(duì)特殊字符進(jìn)行轉(zhuǎn)意和替換特殊字符，比如script
轉(zhuǎn)換之后，瀏覽器就只會(huì)展示，但是不會(huì)執(zhí)行這些腳本了。
2， 設(shè)置http-only

csrf

就是在用戶登錄的情況下，誘惑用戶訪問非法網(wǎng)站，然后自己帶上cookie，去合理的請(qǐng)求非法信息。
防范：
1， 判斷請(qǐng)求來源
2， 加一個(gè)額外的信息token，登錄后的請(qǐng)求都帶上token，隱藏一個(gè)token
3， 多長(zhǎng)時(shí)間沒有操作可以登出

HTTP劫持

使用ifram嵌入頁面，ui 裝飾來誘導(dǎo)用戶點(diǎn)擊
防范：
X-Frame-Options 禁止頁面加載iframe，
或者設(shè)置ifame sanbox屬性，把ifame的權(quán)限設(shè)置在最小的范圍內(nèi)。

一些設(shè)置

比如csp，設(shè)置可信來源，X-Content-Type-Options 瀏覽器解析類型，