XSS与XSRF

XSS

XSS是跨站脚本攻击(Cross Site Scripting),简单的说就是让网站执行你想要的js
1.攻击者在输入框中偷偷插入一段<script>xxx</script>
2.攻击代码xxx中获取cookie发送到攻击者的服务器
3.发布文章后,如果有人查看文章,就会将查看者的cookie发送到攻击者的服务器

XSRF

受害者必须有以下两步:
1.登录受信任购物网站浏览商品,支付接口是http://xxx.com/pay?id=100
2.进入另外一个页面(比如查看一封邮件),页面有<img src="http://xxx.com/pay?id=100">自动支付
防范:增加验证流程——支付需要指纹、密码、验证码等

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

持续学习