CSRF和XSS防范

CSRF攻擊預防:

當訪問頁面時,服務端隨機生成個token,然后頁面POST請求時,將該token帶過來,服務端校驗這個token是否有效,token可以放到header或請求參數中。
如果使用ajax請求,可以使用beforeSend方法設置header參數。

$.ajax({
    url:'formsubmit.do',
    data:{"id":id},
    dataType:'json',
    beforeSend:function(xhr){
        xhr.setRequestHeader("_csrf_token",$('meta[name='_csrf']').attr('context'));
    },
    success:function(){
    }
});

設置攔截器或過濾器獲取header中_csrf_token的值,和服務器的token比對。

XSS攻擊預防:

在Filter或攔截器中過濾特殊字符。

下面是在網上找到的一篇文章,寫的很好,記錄下。
http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容