XSS与CSRF两种跨站攻击总结

在那个年代,大家一般用拼接字符串的方式来构造动态 SQL语句创建应用,于是SQL注入成了很流行的攻击方式。在这个年代,参数化查询[1]已经成了普遍用法,我们已经离 SQL注入很远了。但是,历史同样悠久的XSS和CSRF却没有远离我们。由于之前已经对XSS 很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免