XSS攻击 :
什么是XSS攻击?
XSS攻击使用JavaScript脚本注入进行攻击。当你进行表单提交的时候;进行页面跳转的时候;就会有可能受到XSS攻击。
<script>alert('hhhhh')</script>
<script>window.location.href='https://www.baidu.com';</script>
此时对应的HTML代码 : <script>alert('hhhhh')</script>
如何防止XSS攻击呢?
将脚本特殊字符;转换成为HTML源代码进行展示。
继承 HttpServletRequestWrapper 重写httpservletwrapp方法;将参数特殊字符转换成为HTML源代码。
SQL注入攻击:
什么是SQL注入 ?
将SQL命令注入到后台数据库执行一些恶意的操作。造成SQL注入的原因是因为程序没有有效过滤用户的输入,使攻击者成功的向服务器提交恶意的SQL查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。
SQL 注入防攻击手段:
不要使用拼接SQL语句方式、最好使用预编译方式,在mybatis编写sql语句的时候,最好使用?传参数方式,不要使用#传参数,因为#传参数方式,可能会受到sql语句攻击。
MyBatis #与?区别
#{}: 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符,一个 #{ } 被解析为一个参数占位符,可以防止SQL注入问题。
${}: 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换。
Hppt 请求防盗链
什么是防盗链: 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。
如何实现防盗链: 判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他 服务器盗用。实现Filter 在 doFilter方法中进行判断。
CSRF攻击 :
CSRF攻击产生原因 :
(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用也就是人们所知道的钓鱼网站。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
防止CSRF手段 : 使用图形验证码防止机器模拟接口请求攻击,在调用核心业务接口时,比如支付、下单、等接口,最好使用手机短信验证验证或者是人脸识别,防止其他用户使用Token伪造请求。
DDOS攻击:
个人理解也就是恶意请求;浪费服务器的宽带;导致其他的人无法进行访问。
处理方式 : 可以对Ip进行判断操作,在网关那层就要做好处理。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
