摘要：何方神圣中文名字是跨站請求偽造，做的事情就是在別的網(wǎng)站，以你的名義對你登陸認(rèn)證過的網(wǎng)站搞事情。中文名字是跨站腳本，做的事情就是在有漏洞的網(wǎng)站，寫個(gè)攻擊，或者存?zhèn)€另類的數(shù)據(jù)到網(wǎng)站數(shù)據(jù)庫，對使用網(wǎng)站的用戶造成困擾，屬于站內(nèi)攻擊。

中文名字是跨站請求偽造，做的事情就是在別的網(wǎng)站，以你的名義對你登陸認(rèn)      證過的網(wǎng)站搞事情。

中文名字是跨站腳本，做的事情就是在有漏洞的網(wǎng)站，寫個(gè)dom攻擊，或者存?zhèn)€另類的數(shù)據(jù)到網(wǎng)站數(shù)據(jù)庫，對使用網(wǎng)站的用戶造成困擾，屬于站內(nèi)攻擊。

在B網(wǎng)站默默寫個(gè)可訪問A網(wǎng)站（用戶登陸過了，客戶端已經(jīng)存儲cookie）的鏈接或者腳本。觸發(fā)方式有用戶不小心觸發(fā)(比如：點(diǎn)擊某個(gè)按鈕啥的），或者用iframe偷偷訪問，這時(shí)候會帶A網(wǎng)站的cookie去請求A服務(wù)器，因?yàn)橛脩粢呀?jīng)登陸過。如果服務(wù)器沒有做任何防護(hù)，那B網(wǎng)站就開心了，能做的事情就有點(diǎn)多了，比如想去獲取一下你的好友列表信息，然后發(fā)垃圾郵箱啥的，再比如就是直接轉(zhuǎn)賬，把你錢都卷跑。。如果你做了防護(hù)，B網(wǎng)站會嘗試投你所好，繼續(xù)攻擊，直到?jīng)]法子。

1. 檢查提交表單是否對用戶輸入有限制，如果限制沒做好，那攻擊者可以寫入一段腳本、sql語句、包含html標(biāo)簽的內(nèi)容。
設(shè)想錄入文章的場景，攻擊者寫入的文章被用戶看到，可發(fā)生的事情有：執(zhí)行js腳本（）完了，用戶的cookie要丟了，有了用戶cookie,能做的事情就有點(diǎn)多了；或者可能會攻擊數(shù)據(jù)庫，操作數(shù)據(jù)，考驗(yàn)?zāi)愕臄?shù)據(jù)庫承受能力。
2. 顯示內(nèi)容根據(jù)url參數(shù)是否有關(guān)，進(jìn)行參數(shù)攻擊。

1. 使用cookie的httpOnly，設(shè)置為true,就不能通過document.cookie
方式獲取用戶cookie。
2. 使用token,對每個(gè)請求都設(shè)置一個(gè)token,尤其是post, delete等危險(xiǎn)
method,比如django就使用了csrf_token機(jī)制預(yù)防csrf。
3. 檢查reffer,檢測鏈接訪問來源。
4. 保證自己站內(nèi)沒有xss,這樣用戶信息不易丟失，不給csrf假冒用戶的機(jī)
會。
5. 使用X-iframe-options頭部控制別的網(wǎng)站用iframe嵌入你的內(nèi)容。
6. 利用框架自身特點(diǎn)，比如django的csrf_token。

1. 對用戶可輸入信息的地方保持警惕，做好防護(hù)，比如轉(zhuǎn)義什么的。
2. 強(qiáng)化數(shù)據(jù)庫，存入數(shù)據(jù)之前，考慮到安全性。
3. url中的參數(shù)考慮下encode
4. 利用框架本身功能，比如django默認(rèn)會處理特殊字符