前端安全

XSS:

跨站脚本攻击；通过插入恶意脚本，实现对用户浏览器的控制。通过location.hash注入木马；

持久性攻击：原理攻击者以一个普通用户登录进来，然后在输入框提交一下书，攻击者提交了带<a>的数据，该条数据将保存在数据库中，而当admin用户登入时，包含“bangerlee”的用户列表将显示，而admin点击‘banggerlee’时，在攻击者的服务器上，就可以窃取admin的session-id;然后攻击者就可以在会话有效期内获得admin权限。

防止：浏览器自身可以识别简单的xss攻击字符串；开发人员运用转义安全字符等手段。

CSRF

跨站点请求伪造；对于未被授权系统有权访问某个资源的情况。攻击者盗用了你的身份，以你的名义发送恶意请求。

相关：Web浏览器对于cookie和http身份验证传息的处理方式；攻击者根据嵌入html/css中的url以及表单来了解应用程序有关的URL、参数和容许值；应用程序赖以管理会话的信息对浏览器的透明度问题。

原理：网站A:恶意网站  网站B：用户已登录的网站  当用户访问A站时，A站私自访问B站的操作链接，模拟用户操作。

防御：客户端增加伪随机数。第一种是cookie hashing(所有表单包含同一个伪随机值)，在服务端构造加密的cookie值，在表单里增加hash值，以认证这确定是用户的请求，然后在服务端进行hash值验证。第二中是验证码。

ssl安全套接层

http  https是在传输过程中的安全

在传输层进行加密

HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。

密码加盐  在服务器端相当于原来的密码再加一个随机值

 

域名劫持

浏览网络的基本原理：由客户端发送域名请求给 dns，dns通过遍历查询dns数据库，来解析此域名对应的ip，然后反馈至浏览器客户端，客户端通过ip与对方建立数据连接;这时，很关键的一环，就是dns服务，如果dns把你想要解析的地方，解析为错误的另一个地方，这地方是劫持者有自身利益的地方，例：明明访问 www.linwan.net.cn,却被引导至另外一个网址，比如：www.smallit.cn ;另外，还有就是，排除自身电脑问题的弹出窗口这个过程，就称之为dns劫持，至于dns劫持的利益，这就是另外一个话题了

sql注入

以SQL语句作为用户输入，通过改变原有的url，从而达到查询、修改、删除数据的目的。

1.永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

2.永远不要使用动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

4.不要把机密信息明文存放，请加密或者hash掉密码和敏感的信息。

5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装，把异常信息存放在独立的表中。