如何防御？

1》可以對 Cookie 設(shè)置 SameSite 屬性。該屬性表示 Cookie 不隨著跨域請求發(fā)送，可以很大程度減少 CSRF 的攻擊，但是該屬性目前并不是所有瀏覽器都兼容。

2》通過Referer限制！Referer信息告訴服務(wù)器是從哪個頁面鏈接過來的

3》目前比較完善的解決方案是加入Anti-CSRF-Token,即發(fā)送請求時在HTTP 請求中以參數(shù)的形式加入一個隨機(jī)產(chǎn)生的token，服務(wù)器讀取瀏覽器當(dāng)前域cookie中這個token值，進(jìn)行比較校驗(yàn)。

4》驗(yàn)證碼操作，體驗(yàn)上不是很好

===3.點(diǎn)擊劫持===

通過iframe透明化，漏出來一個按鈕，誘惑用戶點(diǎn)擊。

如何防御？

1》X-FRAME-OPTIONS是一個 HTTP 響應(yīng)頭，在現(xiàn)代瀏覽器有一個很好的支持。這個 HTTP 響應(yīng)頭 就是為了防御用 iframe 嵌套的點(diǎn)擊劫持攻擊。X-FRAME-OPTIONS有3個值可選：
DENY，表示頁面不允許通過 iframe 的方式展示
SAMEORIGIN，表示頁面可以在相同域名下通過 iframe 的方式展示
ALLOW-FROM，表示頁面可以在指定來源的 iframe 中展示
2》通過js的方法判斷，來隱藏iframe顯示的頁面。

===4.url跳轉(zhuǎn)漏洞===

借助未驗(yàn)證的URL跳轉(zhuǎn)，將應(yīng)用程序引導(dǎo)到不安全的第三方區(qū)域，從而導(dǎo)致的安全問題。

1》referer的限制
如果確定傳遞URL參數(shù)進(jìn)入的來源，我們可以通過該方式實(shí)現(xiàn)安全限制，保證該URL的有效性，避免惡意用戶自己生成跳轉(zhuǎn)鏈接
2》加入有效性驗(yàn)證Token
我們保證所有生成的鏈接都是來自于我們可信域的，通過在生成的鏈接里加入用戶不可控的Token對生成的鏈接進(jìn)行校驗(yàn)，可以避免用戶生成自己的惡意鏈接從而被利用，但是如果功能本身要求比較開放，可能導(dǎo)致有一定的限制。

===5.SQL注入===

SQL注入的本質(zhì):數(shù)據(jù)和代碼未分離，即數(shù)據(jù)當(dāng)做了代碼來執(zhí)行。
有可能會造成獲取數(shù)據(jù)庫信息、管理員后臺用戶名和密碼、讀取服務(wù)器敏感文件等問題，甚至修改數(shù)據(jù)庫內(nèi)容。

如何防御？

1》嚴(yán)格限制Web應(yīng)用的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的最低權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害
2》后端代碼檢查輸入的數(shù)據(jù)是否符合預(yù)期，嚴(yán)格限制變量的類型，例如使用正則表達(dá)式進(jìn)行一些匹配處理。
3》對進(jìn)入數(shù)據(jù)庫的特殊字符（"，"，，<，>，&，，; 等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換*?；旧纤械暮蠖苏Z言都有對字符串進(jìn)行轉(zhuǎn)義處理的方法，比如 lodash 的 lodash._escapehtmlchar 庫。
4》所有的查詢語句建議使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到 SQL 語句中，即不要直接拼接 SQL 語句。例如 Node.js 中的 mysqljs 庫的 query 方法中的 ? 占位參數(shù)。

===6.OS命令注入攻擊===

OS命令注入攻擊指通過Web應(yīng)用，執(zhí)行非法的操作系統(tǒng)命令達(dá)到攻擊的目的。

如何防御？

1》后端對前端提交內(nèi)容進(jìn)行規(guī)則限制（比如正則表達(dá)式）。
2》在調(diào)用系統(tǒng)命令前對所有傳入?yún)?shù)進(jìn)行命令行參數(shù)轉(zhuǎn)義過濾。
3》不要直接拼接命令語句，借助一些工具做拼接、轉(zhuǎn)義預(yù)處理，例如 Node.js 的 shell-escape npm包