本文详细介绍了Web应用常见的四种攻击类型:跨站脚本攻击(XSS)、SQL注入、跨站请求伪造(CSRF)和点击劫持(ClickJacking),并提供了相应的防御措施。XSS防范包括输入检查和输出检查;SQL注入防御推荐使用预编译语句;CSRF防御方法有验证码、referer检查和Anti CSRF Token;ClickJacking防御主要通过设置X-Frame-Options HTTP头。
对于一个Web应用来说,可能会面临很多不同的攻击。下面的内容将介绍一些常见的攻击方法,以及面对这些攻击的防御手段。
一、跨站脚本攻击(XSS)
跨站脚本攻击的英文全称是Cross Site Script,为了和样式表区分,缩写为XSS。发生的原因是网站将用户输入的内容输出到页面上,在这个过程中可能有恶意代码被浏览器执行。
跨站脚本攻击可以分为两种:
1). 反射型XSS
它是通过诱使用户打开一个恶意链接,服务端将链接中参数的恶意代码渲染到页面中,再传递给用户由浏览器执行,从而达到攻击的目的。如下面的链接:
http://a.com/a.jsp?name=xss<script>alert(1)</script>
a.jsp将页面渲染成下面的html:
Hello xss<script>alert(1)</script>
这时浏览器将会弹出提示框。
2). 持久型XSS
持久型XSS将恶意代码提交给服务器,并且存储在服务器端,当用户访问相关内容时再渲染到页面中,以达到攻击的目的,它的危害更大。
比如,攻击者写了一篇带恶意JS代码的博客,文章发表后,所有访问该博客文章的用户都会执行这段恶意JS。
最低0.47元/天 解锁文章
扫一扫
2652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
