标签：xss 用户 学习 token csrf 日志 客户端

2021.09.06 星期一

        token机制：当用户登录时，服务器会生成一个token并返回给客户端，客户端可以将其存在cookie或者storage里面，以后客户端请求的时候携带该token，和服务器的token进行比较，如果相同，则可以返回数据给客户端。

 该token是存储在了storage中。

        xss攻击：指恶意攻击者会往Web页面里插入script代码，当用户浏览该页面时，嵌入Web里面的script代码会被执行，从而会出现一些惨象。xss有两大类：存储型（持久型）和反射型（非持久型）。反射型是指用户访问某个url的时候导致个人信息的泄露，是一次性的；存储型是指只要有用户访问该网页，就会受到攻击，就像是留言板，某些用户访问该留言板时，就会受到攻击。

        csrf：指在未经你许可的情况下用你的名义发送恶意请求（比如修改密码，银行转账等），一般黑客都会通过xss配合csrf来盗取银行密码等。

之后又看了几个xss和csrf结合完成一些恶意请求的实例，跟以前那些木马网站之类的非常相似，我对这些还挺感兴趣的，之后会继续带着学习并且学习如何防止出现这些情况。

        明天计划：1、跟着语雀里面的前端练习生计划，学习css的一些内容，并用css写出一些特效；2、继续跟着之前进度取学习算法题。

标签：xss,用户,学习,token,csrf,日志,客户端
来源： https://blog.csdn.net/aghvvbn/article/details/120139649

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。