web前端安全 XSS跨站腳本 CSRF跨站請求僞造 SQL注入

web安全，從前端作起，總結下web前端安全的幾種技術：

1，XSS

XSS的全稱是Cross Site Scripting，意思是跨站腳本,XSS的原理也就是往HTML中注入腳本，HTML指定了腳本標記

XSS攻擊分紅兩類，一類是來自內部的攻擊，主要指的是利用程序自身的漏洞，構造跨站語句。

另外一類則是來自外部的攻擊，主要指的本身構造XSS跨站漏洞網頁或者尋找非目標機之外的有跨站漏洞的網頁。如當咱們要滲透一個站點，咱們本身構造一個有 跨站漏洞 的網頁，而後構造跨站語句，經過結合其它技術，如社會工程學等，欺騙目標服務器的管理員打開。

 

預防：積極過濾用戶輸入，永遠不要信任用戶

2，CSRF

CSRF（Cross-site request forgery跨站請求僞造，也被稱成爲「one click attack」或者session riding，一般縮寫爲CSRF或者XSRF，是一種對網站的惡意利用。儘管聽起來像跨站腳本（XSS），但它與XSS很是不一樣，而且攻擊方式幾乎相左。XSS利用站點內的信任用戶，而CSRF則經過假裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比，CSRF攻擊每每不大流行（所以對其進行防範的資源也至關稀少）和難以防範，因此被認爲比XSS更具危險性。

具體參考這篇文章： http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

 

預防：使用http的post請求來執行全部重要操做，或者使用一個動態生成令牌：一個隱藏字段分配一個動態值，這個值也會被添加到用戶會話信息中，服務器端接收到客戶端請求後，服務器檢查POST的隱藏變量和用戶會話信息獲得的是否相同。

3，SQL注入攻擊

SQL注入攻擊是黑客對數據庫進行攻擊的經常使用手段之一。至關大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶能夠提交一段數據庫查詢代碼，根據程序返回的結果，得到某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

參考： http://baike.baidu.com/view/983303.htm

http://baike.baidu.com/view/3896.htm

 

4，javascript劫持

5，XPath注入

六、 分佈式拒絕服務(DDoS:Distributed Denial of Service)攻擊指藉助於客戶/服務器技術，將多個計算機聯合起來做爲攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提升拒絕服務攻擊的威力。一般，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序將與大量代理程序通信，代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內激活成百上千次代理程序的運行。