个人理解:
web安全防护分为三种
- XSS
- CSRF
- SQL注入
XSS
XSS攻击原理: 有很多登录页面都有记住账户和密码功能 方便下次登录 有的网站是用明文记录用户名和密码的 有的不良用户会利用这点使用简单工具查看cookie结构 如果网站有XSS漏洞利用JSONP获取到用户的账户和密码
攻击防范 对用户输入的地方做给字符做过滤 比如<,> , 尽量使用POST提交表单
CSRF
CSRF攻击原理: 跨站请求伪造 是一种常见的web攻击 攻击者发送个A超链接 然后用户点进去到A超链接的页面中 A页面会获取到用户存到本地的个人信息 比如说验证码 在程序和用户交互过程中 账户交易这种核心步骤 强制用户输入验证码才能完成最终的请求 增加验证码减低用户的体验 网站不能给全部的操作都加上验证码 就能做为辅助手段 在关键业务中设置验证码
SQL注入
SQL注入攻击原理: 通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,防范的话就是对用户的输入进行校验 可以通过正则表达式 或者限制长度对单引号和双进行转换等 机密信息不能明文存放