一.防范xxs攻击
为了防止持久型 XSS 漏洞,需要前后端共同努力 :
1 . 后端在入库前应该选择不相信任何前端数据,将所有的字段统一进行转义处理。
2 . 后端在输出给前端数据统一进行转义处理。
3 . 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据,任何字段都需要做转义处理。
基于Flash的跨站 XSS:
1 . 严格管理 cookie 的读写权限
2 . 对 Flash 能接受用户输入的参数进行过滤 escape 转义处理
未经验证的跳转 XSS:
1 . 对待跳转的 URL 参数做白名单或者某种规则过滤
2 . 后端注意对敏感信息的保护, 比如 cookie 使用来源验证。
二. 防范csrf攻击
方法一:Token 验证:(用的最多)
(1)服务器发送给客户端一个token;
(2)客户端提交的表单中带着这个token。
(3)如果这个 token 不合法,那么服务器拒绝这个请求。
方法二:隐藏令牌:把 token 隐藏在 http 的 head头中。方法二和方法一有点像,本质上没有太
大区别,只是使用方式上有区别。
方法三、Referer 验证:Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做
响应;如果不是,就拦截。
三. 防范sql注入
1.使用mysql_real_escape_string,采用预编译语句集,它内置了处理SQL注入的能力,使用它
的setXXX方法传值,预防数据库攻击
2.使用正则表达式过滤传入的参数和字符串过滤
3.使用mysql绑定变量的方式
扫一扫
1471
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
