一、XSS（跨站腳本攻擊）預防

XSS 是指攻擊者向目標網站注入惡意腳本，從而在用戶瀏覽器中執(zhí)行。

1. 輸入過濾

• 清理用戶輸入：
  • 攔截或清理HTML特殊字符（如 <, >, ', ", &）。
  • 使用安全庫，如：
    • JavaScript：DOMPurify。
    • Python：bleach。
  • 在前端和后端同時驗證輸入。

2. 輸出轉義

• HTML轉義：
  • 輸出動態(tài)數據時，將特殊字符轉義。例如：
    • & → &
    • < → <
    • > → >
    • " → "
    • ' → '
  • 使用模板引擎（如 React、Vue.js）會自動對變量進行轉義。

3. 使用安全的庫或框架

• React 和 Angular 默認會對數據進行 HTML 轉義，避免直接操作 DOM。
• 不要使用 innerHTML、document.write 等會插入未經處理的 HTML。

4. 內容安全策略（CSP）

• 配置 CSP 限制資源加載：
  • 限制腳本來源：Content-Security-Policy: script-src 'self' https://trusted-source.com;
  • 禁止內聯腳本：unsafe-inline。

5. HTTP-only 和 Secure Cookies

• 使用 HttpOnly 屬性防止 JavaScript 訪問 Cookies。
• 使用 Secure 屬性防止 Cookies 被非 HTTPS 傳輸。

6. 定期安全測試

• 使用工具檢查 XSS 漏洞，例如：
  • OWASP ZAP
  • Burp Suite

二、CSRF（跨站請求偽造）預防

CSRF 是指攻擊者利用受害者的身份發(fā)送偽造請求。

1. 使用 CSRF Token

• 每次表單提交時生成唯一的 CSRF Token。
• 后端驗證 CSRF Token 是否有效。
• 常見框架自帶支持：
  • Django：{% csrf_token %}。
  • Spring Security：<input type="hidden" name="_csrf" value="${_csrf.token}">。

2. SameSite Cookies

• 設置 Cookie 的 SameSite 屬性為 Strict 或 Lax，防止跨站點發(fā)送：

  Set-Cookie: session_id=abc123; SameSite=Strict;

3. 驗證請求來源

• 檢查 Referer 或 Origin 頭：
  • 驗證請求的來源是否為可信域。
  • 如果來源為空或不可信，拒絕請求。

4. 使用驗證碼

• 在重要的操作中（如轉賬、賬戶設置），添加用戶驗證碼驗證。

5. 限制請求方法

• 對敏感操作使用 POST 而非 GET，避免 CSRF 的默認觸發(fā)機制。

6. 強制登錄驗證

• 對所有敏感操作，要求用戶重新登錄或輸入密碼。