什麼是SQL隱碼攻擊、XSS以及CSRF?【網路安全知識培訓】

　　想必很多人都看到過SQL隱碼攻擊、XSS以及CSRF這三個詞，但大部分人對它根本不瞭解，甚至不知道其含義是什麼。接下來，小編為大家詳細介紹一下什麼是SQL隱碼攻擊、XSS以及CSRF?不知道的人快來看看吧。

　　SQL隱碼攻擊

　　SQL隱碼攻擊屬於注入式攻擊，這種攻擊是因為在專案中沒有將程式碼與資料隔離，在讀取資料的時候，錯誤的將資料作為程式碼的一部分執行而導致的。

　　如何處理SQL隱碼攻擊情況?三個方面：

　　1、過濾使用者輸入引數中的特殊字元，降低風險;

　　2、禁止透過字串拼接sql語句，嚴格使用引數繫結來傳入引數;

　　3、合理使用資料庫框架提供的機制。

　　XSS

　　XSS，跨站指令碼攻擊，Cross-Site Scripting，為了和前端的CSS避免重名，簡稱為XSS，是指透過技術手段，向正常使用者請求的HTML頁面中插入惡意指令碼，執行。

　　這種攻擊主要是用於資訊竊取和破壞等目的。在防範XSS上，主要就是透過對使用者輸入的資料做過濾或者或者轉義，可以使用框架提供的工具類HTML Util，另外前端在瀏覽器展示資料的時候，要使用安全的API展示資料。比如使用inner text而不是inner HTML。

　　CSRF

　　跨站請求偽造，在使用者並不知情的情況下，冒充使用者傳送請求，在當前已經登入的Web網站上執行惡意操作，比如惡意發帖，修改密碼等。

　　大致來講，與XSS有重合的地方，前者是駭客盜用使用者瀏覽器中的登入資訊，冒充使用者去執行操作;後者是在正常使用者請求的HTML中放入惡意程式碼，XSS問題出在使用者資料沒有轉義，過濾;CSRF問題出現在HTTP介面沒有防範不守信用的呼叫。

　　防範CSRF漏洞方式：

　　1、CSRF Token驗證，利用瀏覽器的同源限制，在HTTP介面執行前驗證Cookie中的Token，驗證透過才會繼續執行請求。

　　2、人機互動，比如簡訊驗證碼、介面的滑塊等。