20190112問:
web安全攻擊手段有哪些?以及如何防範
常見的有xss, csrf, sql注入
xss(cross site scripting) 跨站指令碼攻擊
定義: 指攻擊者在網頁嵌入指令碼,使用者瀏覽網頁觸發惡意指令碼執行
XSS攻擊分為3類:儲存型(持久型)、反射型(非持久型)、基於DOM
如何防範:
設定HttpOnly以避免cookie劫持的危險
過濾,對諸如<script>、<img>、<a>等標籤進行過濾
編碼,像一些常見的符號,如<>在輸入的時候要對其進行轉換編碼
限制,對於一些可以預期的輸入可以通過限制長度強制截斷來進行防禦
csrf(cross site request forgery) 跨站請求偽造
定義: 是一種劫持受信任使用者向伺服器傳送非預期請求的攻擊方式
如何防範:
- 驗證 HTTP Referer 欄位
- 請求地址中新增 token 並驗證
- HTTP 頭中自定義屬性並驗證
sql注入(SQL injection)
定義: 在未授權情況下,非法訪問資料庫資訊
如何防範:
杜絕使用者提交的引數入庫並且執行
在程式碼層,不準出現sql語句
在web輸入引數處,對所有的引數做sql轉義
上線測試,需要使用sql自動注入工具進行所有的頁面sql注入測試
關於JS每日一題
JS每日一題可以看成是一個語音答題社群
每天利用碎片時間採用60秒內的語音形式來完成當天的考題
群主在次日0點推送當天的參考答案
- 注 絕不僅限於完成當天任務,更多是查漏補缺,學習群內其它同學優秀的答題思路
掃描下方二維碼即可加入答題
static.vue-js.com/FqG7_6fmBmO…
