摘要:預防做表單驗證�����,過濾特殊字符跨站請求偽造指站的攻擊者可以得到在站某個請求的所有參數��,在站發起一個屬于站的請求,這就是跨站請求。
1: XSS(cross site Script)
XSS的類型:
1: get型
指誘導用戶打開一個url,這個url的片段標志符是執行一段下載惡意攻擊的js文件的js代碼���,例如
http://hehe.com/hehe.html?name=xss
防御:
2: post型
在表單提交的時候,在類似于富文本框之類的地方輸入一段惡意的js代碼。
防御:對表單提交的內容做格式檢查和關鍵字過濾,比如:
1: 郵箱必須是郵箱的格式,名字只能是字母。�。。
2: 富文本框過濾特殊符號‘
3: Cookie劫持
一般Cookie存放著一些重要的信息��,例如客戶的登陸信息��,如果Cookie被劫持�����,那就暴露了用戶信息,更嚴重的是攻擊者可以用此登陸被害人的賬號�����。
2: SQL注入
指客戶可以向服務器提交一段SQL代碼�����。
預防:
1: 做表單驗證���,過濾特殊字符
3: 跨站請求偽造(CSRF:Cross Site Request Forgery)
指B站的攻擊者可以得到在A站某個請求的所有參數�����,在B站發起一個屬于A站的請求,這就是跨站請求��。例如:
GET http://a.com/item/delete?id=1
客戶登陸了A站��,然后又去訪問B站���,在B站請求了一張圖片
這時候受害者在不知道的情況下發起了一個刪除請求�。
防御:
每一個請求都加一個token,服務器端對每個請求都驗證token���。
4: 點擊劫持(ClickJacking)
用一個透明的iframe覆蓋在網頁上,欺騙客戶在這個iframe上操作����。解決的辦法是從根源上解決,也就是條件式地允許iframe的嵌入��。在HTTP頭:X-Frame-Options設置自己想要的值:
DENY:禁止任何頁面的frame加載���;
SAMEORIGIN:只有同源頁面的frame可加載��;
ALLOW-FROM:可定義允許frame加載的頁面地址�。
文章版權歸作者所有�,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除�����。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/83533.html
