web安全安全入门常见方式和防范方法

今天，我们就来谈谈黑客攻击的几种常见方式和防范方法。

一、Sql 注入

原理：

通过把 SQL 命令插入到 Web 表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。

防范方法：

永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

永远不要使用动态拼装 SQL，可以使用参数化的 SQL 或者直接使用存储过程进行数据查询存取。

永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

不要把机密信息明文存放，请加密或者 hash 掉密码和敏感的信息。

二、XSS 攻击

原理：

Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意 html标签或者 javascript代码。比如：攻击者在论坛中放一个看似安全的链接，骗取用户点击后，窃取 cookie 中的用户私密信息；或者攻击者在论坛中加一个恶意表单，当用户提交表单的时候，却把信息传送到攻击者的服务器中，而不是用户原本以为的信任站点。

防范方法：

代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必须加以 encode，避免不小心把 html tag 弄出来。这一个层面做好，至少可以堵住超过一半的 XSS 攻击。

避免直接在 cookie 中泄露用户隐私，例如 email、密码等等。

通过使 cookie 和系统 ip 绑定来降低 cookie 泄露后的危险。这样攻击者得到的cookie 没有实际价值，不可能拿来重放。

如果网站不需要再浏览器端对 cookie 进行操作，可以在 Set-Cookie 末尾加上 HttpOnly 来防止 javascript 代码直接获取 cookie 。

尽量采用 POST 而非GET 提交表单。

三、CSRF 漏洞

原理：

当用户访问恶意网站 B，恶意网站 B返回给用户的HTTP信息中要求用户访问网站 A，而由于用户和网站 A 之间可能已经有信任关系导致这个请求就像用户真实发送的一样会被执行。

要完成一次 CSR F攻击，受害者必须依次完成两个步骤：

登录受信任网站 A，并在本地生成 Cookie。

在不登出 A 的情况下，访问危险网站B。

防范：

服务端的 CSRF 防范方法很多样，但总的思想都是一致的，就是在客户端页面增加伪随机数。

通过验证码的方法。

总结

我们作为一个工程师，尤其是作为一个前端工程师，是离用户最近的，我们要做的不仅仅是把页面呈现给用户，更应该从用户角度考虑，安全问题是一个非常重要的问题，值得我们特别注意，在以后的工作中尤为注意。

如果你对网络安全感兴趣，学习资源免费分享，保证100%免费！！！（H客入门教程）

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉CSDN大礼包：《H客&网络安全入门&进阶学习资源包》免费分享

👉网安（H客）全套学习视频👈

我们在看视频学习的时候，不能光动眼动脑不动手，比较科学的学习方法是在理解之后运用它们，这时候练手项目就很适合了。

👉网安（H客红蓝对抗）所有方向的学习路线👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉H客必备开发工具👈

工欲善其事必先利其器。学习H客常用的开发软件都在这里了，给大家节省了很多时间。

这份完整版的网络安全（H客）全套学习资料已经上传至CSDN官方，朋友们如果需要点击下方链接也可获取网络工程师全套资料【保证100%免费】

如果你有需要可以点击👉CSDN大礼包：《H客&网络安全入门&进阶学习资源包》免费分享