Xss攻击:跨站脚本攻击,它允许恶意web用户将代码植入页面中,这样当别人访问到该页面时,也执行了嵌入的那部分代码,可以简单的理解为JavaScript代码注入(防御:转义用户的输入,就是把用户的输入解读为数据而不是代码,对用户的输入及请求都进行过滤检查,设置输入域的匹配规则等,使用cookie的httpOnly属性,加上这个属性的cookie字段,js就无法进行读写了)
CSRF攻击:跨站请求伪造,是一种对网站的恶意利用。比如说你登录了一个普通网站,然后CSRF攻击者在你已经登录目标网站之后,诱使你访问一个恶意网站,那个恶意网站就可能会冒充你的身份来进行一些操作。(防御:1、重要的数据采用post进行接收,2、验证http referer字段,该字段记录了此次http请求的来源地址,3、使用验证码,只要涉及到数据交互就先进行验证码验证)
DNS劫持:域名劫持,劫持请求,分析请求的域名,只把在要劫持的域名请求名单之外的请求放行,否则返回假的IP地址或者什么都不做,这样就会失去响应,其效果就是对特定的网络不能访问或访问的是假网址。(防御:比如说,我们经常会在各种饭馆里面连一些wifi,此时WiFi就是中间代理,如果这个wifi是黑客所建立的热点wifi,那么黑客就可以截获该用户收发的所有数据。所以建议网站都使用https进行加密,这样就算网站的数据能被拿到,黑客也无法解开。)
扫一扫
550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
