XSS 攻击
XSS 攻击是跨站脚本攻击, 是一种代码注入攻击. 攻击者通过在 网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信 息如 cookie 等。
- CSP 指的是内容安全策略,它的本质是建立一个白名单,告诉浏览 器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截由 浏览器自己来实现
- 通常有两种方式来开启 CSP,一种是设置 HTTP 首部中的
Content-Security-Policy,一种是设置 meta 标签的方式
<meta http-equiv="Content-Security-Policy">对一些敏感信息进行保护,比如 cookie 使用 http-only,使得脚本 无法获取。也可以使用验证码,避免脚本伪装成用户执行一些操作。