XSS -
Уязвимость, вызванная тем, что веб-сайт помещает доверие пользователю и не фильтрует вход пользователя. Пользовательский ввод приводит к запуску нежелательного скрипта на сайте.
- Предотвращение: фильтрация ввода пользователя с использованием детектора для ввода HTML (например, strip_tags, htmlspecialchars, htmlentities, mysql_real_string_escape в php)
CSRF:
Уязвимость, вызванная тем, что пользователь помещает доверие на сайт, но сайт может работать для получения пользовательской информации и неправильного использования.
- Предотвращение: уникально автоматически генерирует csrf_token каждый раз, когда отображается форма. Csrf_token отправляется на сервер при отправке формы для проверки. например https://docs.djangoproject.com/en/dev/ref/contrib/csrf/
задан Community 23 May 2017 в 10:31
поделиться