JQuery跨站脚本漏洞与防范方法

// 使用jQuery发送跨站请求时，应当采取安全措施以防止CSRF攻击
 
// 1. 生成随机的CSRF token并存储在cookie中
function generateAntiForgeryToken() {
    var token = 'CSRF_TOKEN=' + encodeURIComponent(Math.random().toString(36).substring(7));
    document.cookie = token;
}
 
// 2. 在发送请求时从cookie中取出token并作为请求的一部分发送
function sendRequestWithAntiForgeryToken() {
    var token = '; ' + document.cookie.split('; ').find(function(cookie) {
        return cookie.startsWith('CSRF_TOKEN=');
    });
 
    $.ajax({
        url: 'https://example.com/api/data',
        type: 'POST',
        headers: {
            'X-CSRF-Token': token.split('=')[1]
        },
        data: {
            // 请求数据
        },
        success: function(response) {
            // 处理响应
        },
        error: function(xhr, status, error) {
            // 处理错误
        }
    });
}
 
// 在页面加载时生成新的CSRF token
$(document).ready(function() {
    generateAntiForgeryToken();
});
 
// 用户触发某个事件后发送请求
$('#sendRequestButton').click(function() {
    sendRequestWithAntiForgeryToken();
});

这个代码实例展示了如何在客户端生成一个随机的CSRF token并将其存储在cookie中。在发送AJAX请求时，从cookie中取出token并添加到请求头中。这是一种常见的防范CSRF攻击的方法。