五星云站强力拦截各类XSS、CSRF等攻击手段

1.XSS跨站脚本

指恶意访客的输入没有经过严格的控制进入了数据库，最终显示给来访的用户，导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码。 数据流程为：攻击者的Html输入—>web程序—>进入数据库—>web程序—>用户浏览器。 五星云站的防御措施包括

• 用户的输入值，只被允许输入合法的值，其它值一概过滤掉。
• HttpOnly防止劫取Cookie 浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持，HttpOnly解决的是XSS后的Cookie支持攻击。

2.CSRF，伪造请求，冒充用户在站内的正常操作 绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

在五星云站中，通过以下措施防御CSRF攻击

• 判断 referer
• 验证码 用户提交的表单中可使用随机验证码，让用户在文本框中填写图片上的随机字符串，并且在提交表单后对其进行检测。
• token 在HTTP请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能是CSRF攻击而拒绝该请求。