安全防护：网站常见的XSS与CSRF攻击及防御策略

了解常见的 Web 攻击类型是构建安全系统的第一步。

一、跨站脚本攻击 (XSS)

定义： 攻击者将恶意脚本注入到被信任的网站中，当用户浏览该页面时，脚本就会执行，窃取 Cookie 或会话信息。

防御策略：

• 输入验证与过滤： 对所有用户输入进行严格的校验。
• 输出转义： 在渲染到页面前，对所有非 HTML 内容进行转义（如将 `<` 转换为 `<`），防止浏览器将其作为代码执行。
• Content Security Policy (CSP)： 配置 CSP 头部，限制页面可以加载的脚本来源。

二、跨站请求伪造 (CSRF)

定义： 攻击者诱导用户访问一个恶意网站，该网站利用用户在另一个网站的登录凭证（如 Cookie）发送恶意请求。

防御策略：

1. 使用 CSRF Token： 在所有关键操作的表单或请求中嵌入一个不可预测的随机 Token。服务器验证 Token 的有效性。
2. 检查 Referer 头部： 验证请求是否来自同源网站。
3. SameSite Cookie 属性： 将 Cookie 设置为 `SameSite=Strict` 或 `Lax`，阻止第三方网站携带 Cookie 发送请求。

重要提示： 永远不要相信来自客户端的任何数据。安全防护是一个持续的过程，需要前后端协同合作。