XSS&CSRF&Replay

跨站点脚本（Cross-Site Scripting：XSS）和注入（Injection）
输入验证可以有效缓解跨站点脚本（XSS）和注入。没有输入验证，恶意用户可以输入JavaScript，SQL或XML代码来攻击系统。

跨站请求伪造（Cross-Site Request Forgery：CSRF）
跨站请求伪造（CSRF）是一个很好的选择。传统的CSRF攻击会发生以下先决条件：

1. 受害用户已登录到系统（例如，在线银行）。
2. 受害用户单击带有伪造或操纵参数的恶意超链接。
3. 受害系统接受作为HTTP GET请求发送的URL。
   以下是缓解CSRF攻击的技巧：
4. 系统不应接受通过GET进行的交易请求。而是应通过POST，PUT或DELETE完成事务。RESTful API通过以下方式使用HTTP动词/方法：GET用於查询，POST用於插入，PUT用於修改，DELETE用於删除。
5. CSRF攻击也可以通过iframe内的HTTP形式触发。因此，应执行同源政策。现代Web浏览器默认情况下启用同源策略。
6. 攻击者可以从攻击工具发送CSRF攻击。减轻这种风险的最终方法是以每种HTTP形式实现存储在隐藏输入中的身份验证代码。Microsoft ASP.NET MVC很好地支持此功能。

重播(Replay)
重播可能由中间人，恶意用户或无意行为触发。重播消息可能会或可能不会被操纵。该问题并不建议缓解重放攻击。
参考
. 跨站点脚本（XSS）
. 跨站请求伪造（CSRF）
. 防止ASP.NET MVC应用程序中的跨站点请求伪造（CSRF）攻击
. 财务导向的Web应用程序中的常见安全问题
. 同源政策
. 同源策略：现代浏览器中的评估
. 现代浏览器中的原始策略执行
. 同源政策的权威指南
. 静默提交POST表单（CSRF）的示例

资料来源： Wentz Wu QOTD-20200520
个人部落格：https://choson.lifenet.com.tw/