《全栈修炼》系列

1. 《【全栈修炼】OAuth2修炼宝典》

CORS 和 CSRF 太容易混淆了，看完本文，你就清楚了。

一、CORS 和 CSRF 区别

先看下图：

两者概念完全不同，另外常常我们也会看到 XSS ，这里一起介绍：

1. CORS ： Cross Origin Resourse-Sharing 跨站资源共享
2. CSRF ： Cross-Site Request Forgery 跨站请求伪造
3. XSS ： Cross Site Scrit 跨站脚本攻击（为与 CSS 区别，所以在安全领域叫 XSS）

XSS （Cross-site scripting）

XSS，跨站脚本攻击。

SQL注入(SQL injection)

在接受不确定输入内容（如第三方站点消息，URL参数，用户创建的文本批注等）时，在使用前对数据进行验证并且在展示时进行适当的编码是必不可少的，否则，可能会有恶意用户对网站进行攻击，轻者只是传递不规范的数据，严重的可能攻击服务器，扰乱网站正常运行，如，注入SQL脚本清除服务器上所有数据等。

通常编写过滤器验证用户输入时，过滤器应该是基于白名单（已知的安全结构）配置编写，允许白名单通过，不允许其他输入；而基于黑名单（已知的不安全结构）配置编写，即允许除了黑名单之外的所有输入，是不安全的，因为还有许多未知的不安全事物。