web前端安全及防御

安全问题也是咱们开发中不可忽视的问题。这里介绍三种常见的攻击及防御措施。

一、SQL注入：指的是将sql代码假装到输入参数中，传递到服务器解析并执行的一种攻击手段。意思是：在对服务端发起的请求参数中植入一些sql代码，服务端在执行sql操做时，会拼接对应参数，同时也将一些sql注入攻击的‘sql’拼接起来，到只会执行一些预期以外的操做。
防范措施：一、对用户的输入进行校验；二、不适用动态拼接sql

二、XSS（跨站脚本攻击）：往web界面中插入恶意的html标签或者js代码。例如：在某个论坛放置一个看似安全的连接，窃取cookie中的用户信息。
防范措施：一、尽可能采用post而不是用get提交表单；二、避免cookie中泄露用户的隐私

三、CSRF（跨站请求假装）：经过假装来自受信任用户的请求。好比能够经过CSRF跨站假装请求qq音乐的数据
防范措施：验证码（最简洁有效）

XSS和CSRF的区别：
    一、XSS是获取信息的，不惜要提早知道用户页面的代码和数据包
    二、CSRF代替用户完成指定的动做，须要知道其余页面的代码和数据包