1,XSS攻击
XSS攻击全称是跨站脚本语言攻击,是Web应用程序中最常见的攻击手段,跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序,当用户打开该程序时盗取用户的cookie,密码以及相关用户资料。
防范措施,因为用户的输入数据都变成了代码,所以我们需要将用户的输入数据进行相关转义处理,现在可以使用jstl,structs等的标签进行转义。
如:<c:out value="${nick}" escapeXml="true"></c:out>只需要将escapeXml修改为true就可以将html代码中的变量进行转义处理。
2,CRSF攻击
CRSF攻击的全称是跨站请求伪造,是一种对网站的恶意利用,伪造合法用户的身份进行攻击。一般来讲CSRF是伪装来自受信任用户的请求来利用受信任的网站,并向第三方网站发送恶意请求。包括利用你的身份发送邮件,发送即时消息,银行转账等。
防范措施:
1),将cookie设置为HttpOnly
2),增加token
3),通过Referer识别。
未完待续。。。。。。。。。。
扫一扫
1071
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
