zoukankan      html  css  js  c++  java
  • web 安全与防范

    1、XSS(Cross  Site Scripting)跨站脚本

    • 由于没有对用户的输入做正确的处理,用户就可以将恶意的脚本代码注入到页面上。其他用户访问页面的时候就会触发这些脚本。
    • XSS 分为两种:
      • 反射型:它是通过诱使用户打开一个恶意链接,服务端将链接中参数的恶意代码渲染到页面中,再传递给用户由浏览器执行,从而达到攻击的目的。
      • 持久型:将恶意代码提交给服务器,并且存储在服务器端,当用户访问相关内容时再渲染到页面中,以达到攻击的目的,它的危害更大。
    • 防范措施:
      • 永远不要相信用户的输入。对输入进行过滤;对输出进行转义。
      • 使用白名单,对恶意 JS/HTML 标签进行过滤;借助第三方库 HTMLPurifier 等。输出合理使用 htmlspecialchars($string, ENT_NOQUOTES) 转义。

    2、CSRF(Cross Site Request Forgery)跨站请求伪造

    • 用户登录了某网站后,在没有退出前,去访问了另外的带有恶意链接的网站,就会在不知情的情况下,以自己的名义,执行了某些恶意的操作。比如,登录后,在别的网站访问已登录网站的删除内容链接、账户操作。。。
    • 防范措施:
      • 对修改、删除操作使用 POST 方式,并配上 CSRF-token。 或者使用验证码。 

       https://www.cnblogs.com/wangyuyu/p/3388169.html

    3、SQL 注入

    • 防范措施:使用预编译语句

    4、DDoS(Distributed Denial of Service)

    • 利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。

    5、文件上传攻击

    • 没有过滤就接收用户上传的文件(如.php等文件),最后通过攻击者通过web请求导致恶意脚本调用被执行。
  • 相关阅读:
    Linux下rabitMq的部署(源码安装)
    yum安装时出现:Cannot retrieve metalink for repository: epel. Please verify its path and try again
    性能实战分析-问题分析(三)
    当前服务器的并发连接数查看
    性能实战分析-问题分析(二)
    数据库中文乱码及分析
    HDU 4857 逃生 (优先队列+反向拓扑)
    HNU 12826 Balloons Colors
    HNU 12827 NASSA’s Robot
    HNU 12812 Broken Audio Signal
  • 原文地址:https://www.cnblogs.com/lxpursue/p/9834487.html
Copyright © 2011-2022 走看看