XSS和CRSF攻击防御

XSS, 即为（Cross Site Scripting）, 中文名为跨站脚本, 是发生在目标用户的浏览器层面 上的，当渲染 DOM 树的过程成发生了不在预期内执行的 JS 代码时，就发生了 XSS 攻击。 大多数 XSS 攻击的主要方式是嵌入一段远程或者第三方域上的 JS 代码。实际上是在目 标网站的作用域下执行了这段 JS 代码

CSRF（Cross Site Request Forgery，跨站请求伪造），字面理解意思就是在别的站点伪造 了一个请求。专业术语来说就是在受害者访问一个网站时，其 Cookie 还没有过期的情 况下，攻击者伪造一个链接地址发送受害者并欺骗让其点击，从而形成 CSRF 攻击

黑客攻防技术宝典-浏览器实战篇

第1章 浏览器知识

同源策略

浏览器中最重要的安全措施就是同源策略 （Same Origin Policy，SOP）。同源策略用于限制不同来源的资 源之间的交互。

同源策略的含义就是对于不同的页面，如果它们的主机名、协议和端口都相同，那它们就是同一来源的。 如果上述三个属性中有任何一个不一样，那就不能算是同源了。而同一来源的资源，即主机名、协议和端 口都相同的资源之间的交互，是不受限制的

最初，同源策略只适用于外部资源，后来才扩展到包含其他来源的资源。比如，使用file://协议访问本地 文件，使用chrome://协议访问浏览器相关的资源等。除了这两个协议之外，现在的浏览器还支持其他一些 协议。

白帽子讲浏览器安全

初探浏览器安全

漏洞三要素

• 完整性 ：指对资源的可信程度。
• 可用性 ：指访问资源的能力。
• 机密性 ：机密性指对一些需要授权的信息的限制。

浏览器中常见的安全概念

URL

URL 统一资源定位符”（Uniform Resource Locator，URL ）