- 博客(3)
- 收藏
- 关注
RSS订阅原创 XSS 防护深度指南:从原理到实战,重点突破绕过与防御
XSS攻击与防御:Web安全的核心挑战 XSS(跨站脚本攻击)通过注入恶意脚本窃取数据或控制用户账户,是Web安全的主要威胁之一。其攻击类型包括反射型(临时)、存储型(持久)和DOM型(前端逻辑漏洞)。攻击者常用标签变形(如<img onerror=>)、编码绕过和HTML5特性(如<iframe>)突破防御。 防护需多维度: 输入过滤:采用白名单验证,限制特殊字符; 输出编码:根据场景对HTML、JavaScript和URL内容转义; 安全配置:启用CSP、设置HttpOnly C
2025-10-20 21:30:00
2364
原创 文件上传漏洞防护指南:从原理到跨系统实战
文件上传漏洞是Web安全的高危风险点,攻击者通过上传恶意文件可控制服务器。本文系统分析了漏洞原理(文件存储与执行的双重失效)、四大类型(校验绕过/路径可控/解析漏洞/文件名缺陷)及八种绕过手段(扩展名伪装/内容篡改等)。针对Linux和Windows系统差异,提出路径权限控制、服务器解析配置等防护方案,并给出"校验-存储-监控"全流程防护体系,强调白名单校验、第三方存储、日志审计等关键措施。防护核心在于切断恶意文件的存储执行链路,需结合系统特性实施深度防御。
2025-10-20 15:32:59
1603
原创 SQL注入防护
预编译虽能解决大部分问题,但仍有特殊场景需要额外防护(如动态表名、复杂查询参数),此时 “输入过滤” 和 “白名单” 就成了重要补充。预编译(参数化查询)> PDO 预处理 > 白名单验证 > 字符过滤 / 转义能不用字符串拼接,就坚决不用;能通过白名单控制输入,就不依赖过滤;所有用户输入都是 “不可信的”,后端必须单独验证。SQL 注入虽危险,但只要掌握正确的防护方法,就能从根本上堵住漏洞。希望本文能帮你建立清晰的防护思路,让数据库真正成为业务的 “安全后盾”,而非 “致命缺口”。
2025-10-20 14:23:54
1060
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人