随着互联网技术的不断发展,大量信息获取变得容易,这也给互联网架构安全带来了严重的挑战。对于常见的web攻击手段主要有XSS、CRSF、SQL注入等。下面本文将介绍常见的攻击手段极其防护方法。
1.XSS
XSS攻击全称为夸张脚本攻击,是web应用中常见的攻击手段。XSS攻击是指攻击者在网页中嵌入恶意脚本程序,当用户打开网页时脚本就开始在浏览器中执行并作为危害用户计算机盗取用户信息的行为。
1.1XSS攻击原理
假设页面上有个表单,表单名为nick用来向服务器提交用户信息:
<input type="text" name="nick" value="xiaoming"/>
表单的nick来自用户输入,如果当用户输入的不是一个正常字符而是
“/>“时由于服务器校验不通过服务器重定向返回这个页面并且带上之前的输入参数,此时页面内容变成面下。
<input type="text" name="nick" value=""/><script>alert("hahh")</script>""/>
在输入框后面带上一段javascript脚本,虽然这个脚本不会做出什么恶意行为只是弹出一个haha窗口,