网络攻击

XSS

跨站脚本攻击,是一种网站应用程序的安全漏洞攻击,是代码注入的一种

  • 反射型XSS攻击场景:用户点击嵌入恶意脚本的链接,攻击者可以获取cookie信息,如用户名、密码,进行恶性操作
    解决:开启cookie的httpOnly的属性,禁止JavaScript获取cookie信息

  • 持久型XSS攻击场景:攻击者提交含有恶意脚本的请求(<script>)
    解决:前端转义<、>,后端转义特殊字符

SQL注入

把SQL命令插入到web表单提交中,让服务器执行恶意的SQL语句

解决:使用数据库提供的参数化查询接口

CSRF

跨站请求伪造,盗取用户信息,模拟当前用户向第三方网站发起恶意请求

解决:

  • 请求头中的自定义header携带token,做token认证
  • 在请求头中添加csrftoken,携带token

网络请求劫持

  • DNS劫持
  • HTTP劫持 解决:升级成HTTPS

results matching ""

    No results matching ""