web前端安全及防禦

安全問題也是咱們開發中不可忽視的問題。這裏介紹三種常見的攻擊及防禦措施。

一、SQL注入：指的是將sql代碼假裝到輸入參數中，傳遞到服務器解析並執行的一種攻擊手段。意思是：在對服務端發起的請求參數中植入一些sql代碼，服務端在執行sql操做時，會拼接對應參數，同時也將一些sql注入攻擊的‘sql’拼接起來，到只會執行一些預期以外的操做。
防範措施：一、對用戶的輸入進行校驗；二、不適用動態拼接sql

二、XSS（跨站腳本攻擊）：往web界面中插入惡意的html標籤或者js代碼。例如：在某個論壇放置一個看似安全的連接，竊取cookie中的用戶信息。
防範措施：一、儘可能採用post而不是用get提交表單；二、避免cookie中泄露用戶的隱私

三、CSRF（跨站請求假裝）：經過假裝來自受信任用戶的請求。好比能夠經過CSRF跨站假裝請求qq音樂的數據
防範措施：驗證碼（最簡潔有效）

XSS和CSRF的區別：
    一、XSS是獲取信息的，不惜要提早知道用戶頁面的代碼和數據包
    二、CSRF代替用戶完成指定的動做，須要知道其餘頁面的代碼和數據包