JS每日一題: web安全攻擊手段有哪些？以及如何防範

20190112問:

web安全攻擊手段有哪些？以及如何防範

常見的有xss, csrf, sql注入

xss(cross site scripting) 跨站腳本攻擊

定義: 指攻擊者在網頁嵌入腳本，用戶瀏覽網頁觸發惡意腳本執行

XSS攻擊分爲3類：存儲型（持久型）、反射型（非持久型）、基於DOM

如何防範:

設置HttpOnly以免cookie劫持的危險
過濾，對諸如<script>、<img>、<a>等標籤進行過濾
編碼，像一些常見的符號，如<>在輸入的時候要對其進行轉換編碼
限制，對於一些能夠預期的輸入能夠經過限制長度強制截斷來進行防護

csrf(cross site request forgery) 跨站請求僞造

定義: 是一種劫持受信任用戶向服務器發送非預期請求的攻擊方式

如何防範:

• 驗證 HTTP Referer 字段
• 請求地址中添加 token 並驗證
• HTTP 頭中自定義屬性並驗證

sql注入(SQL injection)

定義: 在未受權狀況下，非法訪問數據庫信息

如何防範:

杜絕用戶提交的參數入庫而且執行
在代碼層，不許出現sql語句
在web輸入參數處，對全部的參數作sql轉義
上線測試，須要使用sql自動注入工具進行全部的頁面sql注入測試

關於JS每日一題

JS每日一題能夠當作是一個語音答題社區
天天利用碎片時間採用60秒內的語音形式來完成當天的考題
羣主在第二天0點推送當天的參考答案

• 注 毫不僅限於完成當天任務，更可能是查漏補缺，學習羣內其它同窗優秀的答題思路

掃描下方二維碼便可加入答題

static.vue-js.com/FqG7_6fmBmO…