XSS跨站脚本攻击
它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。三种类型:反射型、存储型、DOM型。
攻击:
1、注入代码可盗取用户信息、cookie;
2、注入代码实现页面跳转,导航到恶意网站;
3、破坏页面结构
防御:
对数据进行Html Encode 编码处理;
避免使用eval、new Function等可执行字符串解析的方法;
过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, " for;
过滤JavaScript 事件的标签。例如 “οnclick=”, “onfocus” 等等。
CSRF跨站请求伪造
CSRF 是伪造请求,冒充用户在站内的正常操作
攻击:http://blog.csdn.net/stpeace/article/details/53512283
防御 :
验证 HTTP Referer 字段,判断请求来源是否可靠;
在请求地址中添加 token 并验证,实现鉴权判断;
添加session会话失效时间;
提交验证码。
其他web安全
DDOS原理及防护、钓鱼网站、验证码暴力破解