xss攻击两种 reflected 和stored
如xss可以获取用户的cookie
<script>alert(document.cookie)</script>csrf可以跨站请求修改删除用户信息
防御措施:
1.一般的XSS脚本
2.安全函数 如php的 htmlspecialchars stripslashes
htmlspecialchars 转义&,‘,",<,>
CSRF防御
1.referer验证,但不可靠可以伪造
2.设置token
$csrf = md5(uniqid(rand(), TRUE));
$_SESSION['csrf'] = $csrf;//防刷机制第二弹~~~~~~~~
来源:oschina
链接:https://my.oschina.net/u/2411815/blog/593637