跨站请求伪造案例开始讨论之前，先看一个案例。下图为新浪某子站玩玩，该网站有抽奖机会，每个人限抽奖一次，如果磅数推广分享到微博则可以多获得一次摇奖机会。 2016-03-07曾报出玩玩网站存在CSRF漏洞：用户甚至不知道玩玩网站的存在，只是在浏览新浪微博（已登录）的时候好奇的点开某博主发出的微博或打开好友发来的新...

XSS XSS(Cross Site Script)黑客通过HTML注入篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。 反射型：非持久性型，点击后攻击成功，一般会修改正常URL，一般要求攻击者将XSS URL发送给用户点击因为这种攻击方式的注入代码是从目标服务器通过错误信息、搜索...

客户端安全浏览器安全基础概念 同源策略(Same Origin Policy)–>浏览器最基本的安全功能。 限制来自不同源的document和脚本，host(Domains/IP), protocols and ports sandbox –资源隔离类模块 ‘挂马’：利用浏览器漏洞执行任意代码的攻击方...