sql注入攻击
危害
方式:通过表单提交加入特殊字符 如:' OR 1=1#'
防范:用django的ORM,就大可不必考虑这个问题, 如果自己写,要用正则和其他方式进行过滤
xss(Cross Site Scripting)跨站脚本攻击
危害:
方式:
防范:
1, 首先要对用户输入的地方和变量,仔细检查长度和对" <" ," >" ." ' 等字符进行过滤
2,避免直接在cookie中泄露用户隐私,如email,密码等等,通过使用cookie和系统ip绑定来降低cookie泄露后的危险
3,使用POST提交表单而不用GET
csrf(Cross-site request forgery)跨站请求伪造攻击
危害:
方式:
防范:在django中表单提交是需加入{% csrf_token %},如果自己加校验,得自动生成token令牌.后台先校验