版权印作品库

为了更好地阅读体验，欢迎访问博客原文

Web安全的主旋律
作为一枚程序员，你一定经常看到或听到CSRF和XSS，如果你的主要职责不是网络安全和系统安全，有可能你能够顺溜地喊出CSRF(Cross-site request forgery)和“畸形 ” XSS(Cross-site scripting)的全称，但对其背后的原理却模棱两可。
为什么会经常听到呢？
因为在互联网时代，它俩一直是安全话题的主旋律，它们是某些黑客对网站所采取的攻击手段，历史上有一些知名大型网站遭受重创。而近几年，XSS演变成为最流行的攻击方式，存在68%的网站可能会遭受XSS攻击。不发生则以，一发生就不得已。它们作为Web时代的主要威胁，犹如一颗定时炸弹定居在我们身边。
为什么对原理模棱两可？
目前流行的Web框架越发地具备让开发人员聚焦在业务逻辑上的能力，一些重要的安全方面的控制，web框架已经帮我们做好了。所以业务程序员（主要编写企业内部系统或用户量不太庞大的系统）很少有机会遇到这些安全问题。然而，时势造英雄，框架程序员和产品程序员（比如京东这种产品）可能就有基于去面临和解决这些问题。

CSRF是什么
CSRF(Cross-site request forgery)，跨站请求伪造。又叫one-click attack或session riding， 一句话概述该攻击