概述:常见的安全漏洞:
漏洞名称
|
漏洞背景
|
避免方法
|
解决方案
|
CSRF
(跨站请求伪装)
|
攻击者诱导用户点击连接,用户浏览器携带cookie成功请求服务器,造成用户信息丢失。
|
|
spring-boot-security-csrf
|
XSS
(CSS,跨站脚本攻击)
|
恶意攻击者往web页面插入恶意js代码,当用户浏览时潜入的代码会被执行,从而控制用户的浏览器。
|
|
spring-boot-security-xss
|
SQL注入
|
外部输入参数在拼接时,没有和数据库语句做严格区分,导致攻击者注入自定义的数据库语句,从而非预期地操作数据库。
|
预编译sql语句。对mybatis而言,可用#{}代替${}。
|
|
Jsonp劫持
|
jsonp存在非法站点恶意调用、callback参数恶意添加标签-XSS漏洞等问题。
|
|
spring-boot-security-jsonp
|
DoS攻击
|
伪造请求,建立大量的半连接,使服务器连接队列满,导致拒绝服务。
|
设计安全: