安全测试不是让你当黑客,是让你知道哪些地方容易被人钻空子。下面这些漏洞,大部分都是因为没校验用户输入或者没做权限控制。1. XSS:别人在你网页里插了一段JS啥情况会出?你把用户填的东西直接显示在页面上,比如搜索框里输入 ,页面弹窗了。更危险的是偷cookie、跳转钓鱼站。分三种:反射型:参数里带的,服务器原样返回。测的时候改URL参数就行。存储型:提交到数据库里,所有人打开都中招。评论区、个人介绍这些地方重点测。DOM型:不经过后端,前端自己JS拼接内容导致的。看代码里有没有 innerHTML、document.write 之类。怎么防(或者测试时看有没有做):输出到HTML的地方,把 " ’ 转成 这种。cookie加 HttpOnly,这样JS拿不到。如果是URL参数拼到链接里,做一次 encodeURIComponent。2. CSRF:别人借你的登录状态干坏事场景:你登录了A网站,然后去点B网站的一个链接,B网站偷偷向A网站发了个请求(比如转账)。A网站一看带着你的cookie,就认了。测的时候注意:关键操作(改密码、转账、删东西)有没有token校验?改Referer能不能绕过?防御:表单里藏一个随机token,后端验证。检查Referer是不是自己家的域名。关键操作让用户再输一次密码或验证码。