JS每日一题: web安全攻击手段有哪些？以及如何防范

20190112问:

web安全攻击手段有哪些？以及如何防范

常见的有xss, csrf, sql注入

xss(cross site scripting) 跨站脚本攻击

定义: 指攻击者在网页嵌入脚本，用户浏览网页触发恶意脚本执行

XSS攻击分为3类：存储型（持久型）、反射型（非持久型）、基于DOM

如何防范:

设置HttpOnly以免cookie劫持的危险
过滤，对诸如<script>、<img>、<a>等标签进行过滤
编码，像一些常见的符号，如<>在输入的时候要对其进行转换编码
限制，对于一些能够预期的输入能够经过限制长度强制截断来进行防护

csrf(cross site request forgery) 跨站请求伪造

定义: 是一种劫持受信任用户向服务器发送非预期请求的攻击方式

如何防范:

• 验证 HTTP Referer 字段
• 请求地址中添加 token 并验证
• HTTP 头中自定义属性并验证

sql注入(SQL injection)

定义: 在未受权状况下，非法访问数据库信息

如何防范:

杜绝用户提交的参数入库而且执行
在代码层，不许出现sql语句
在web输入参数处，对全部的参数作sql转义
上线测试，须要使用sql自动注入工具进行全部的页面sql注入测试

关于JS每日一题

JS每日一题能够当作是一个语音答题社区
天天利用碎片时间采用60秒内的语音形式来完成当天的考题
群主在第二天0点推送当天的参考答案

• 注 毫不仅限于完成当天任务，更可能是查漏补缺，学习群内其它同窗优秀的答题思路

扫描下方二维码便可加入答题

static.vue-js.com/FqG7_6fmBmO…