紧急求救老程序员！！！缺少跨站框架脚本保护啥意思啊

跨站 框架 脚本 保护？
估计是无法防御 xss 或者 csrf 漏洞把？

就是无法防御 csrf 的意思。

XSS 吧
简单来说，比如我在某论坛里发帖子，帖子正文写这样的东西:
<script>alert("本论坛即将于某年月日关闭，请及时保存数据迁移到 XXX 论坛");</script>
如果不做任何处理的话，在别人浏览的时候，吼吼~~~~

@yulitian888 问题是，常用的 xss 攻击我都试了，过滤了啊，注入都没什么用

这种听风就是雨的傻领导还要跟？

@explon 领导不懂技术啊

@he583899772 不排除还有用 get 方式操作数据资源的情况，比如写一个类似这样的玩意，诱导用户打开:
<img src="http://一个域名 /page.php?Buy=11&Count=10&money=1000">
而假设此时用户的 Session 是合法的，于是。。。

@he583899772 csrf 跟 xss 有关联但并不相同，xxs 是不影响服务端，csrf 是伪造用户请求攻击服务端，比如用户访问恶意站点后，执行恶意脚本伪造用户请求发帖。因为用户访问携带了 session，在你看来是完全合法的请求。也有解决方法，用户提交数据必须携带 csrf_token，否则不予认可，token 每次请求都刷新一遍即可。

@zwl2012 谢谢解答，有点思路了

用 appscan 扫一下？

cross frame scripting， 漏洞原理参考：

https://www.owasp.org/index.php/Cross_Frame_Scripting

http://cuishen.iteye.com/blog/1924097

一般是国外的一些扫描器会扫出来，国内很少关注这个漏洞，危害比较小。

修复方式： http 响应头设置 X-Frame-Options，禁止网页以 frame 形式加载，或限制仅本域能以 frame 形式加载

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options

那你就说加上了

p.s. xss 全称 Cross-site Scripting 中文名跨站脚本攻击，csrf 全称 Cross-Site Request Forgery 中文名跨站请求伪造

csrf 最简单的防御就是跟写入有关的 url，包括退出登录，用 POST 来提交，后端验证是 POST 才处理。

@rqrq POST 是解决不了 CSRF 的，CSRF 可以 GET 方式也可以 POST 方式。验证 REFERER，token 才是王道，如有 XSS 这种就全没用了。