@phper
2018-10-23T18:21:30.000000Z
字数 1199
阅读 2315
培训
web安全是活动开发过程中,最为重要,稍微疏忽和不小心,就会让黑客有机可乘。
常见的web安全的漏洞有XSS、CSRF、SQL注入以及防道具,下面一一介绍下
xss攻击全称跨站脚本攻击,它是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
比如攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。
反射型:把用户输入的数据“反射”直接输出到浏览器页面。
存储型:把用户输入的数据“存储”到服务器,然后通过客户端读取服务器数据并且显示。
DOM型:通过修改页面DOM节点来形成攻击。
总体的思路是不要相信用户传递的任何数据,都需要进行过滤和比对转换
常用的防范手段是:
跨站请求伪造(英语:Cross-site request forgery),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
就是说冒充用户发起请求(在用户不知情的情况下),完成一些违背用户意愿的请求(如恶意发帖,转账,改密码,发邮件等)。只要是伪造用户发起的请求,都可成为CSRF攻击。
服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数token。通过比对客服端传递的token和服务端是否一直来判断请求的合法性。