摘要:預(yù)防做表單驗(yàn)證��,過(guò)濾特殊字符跨站請(qǐng)求偽造指站的攻擊者可以得到在站某個(gè)請(qǐng)求的所有參數(shù)��,在站發(fā)起一個(gè)屬于站的請(qǐng)求�,這就是跨站請(qǐng)求。
1: XSS(cross site Script)
XSS的類(lèi)型:
1: get型
指誘導(dǎo)用戶打開(kāi)一個(gè)url,這個(gè)url的片段標(biāo)志符是執(zhí)行一段下載惡意攻擊的js文件的js代碼�����,例如
http://hehe.com/hehe.html?name=xss
防御:
2: post型
在表單提交的時(shí)候,在類(lèi)似于富文本框之類(lèi)的地方輸入一段惡意的js代碼��。
防御:對(duì)表單提交的內(nèi)容做格式檢查和關(guān)鍵字過(guò)濾��,比如:
1: 郵箱必須是郵箱的格式����,名字只能是字母。����。。
2: 富文本框過(guò)濾特殊符號(hào)‘
3: Cookie劫持
一般Cookie存放著一些重要的信息�����,例如客戶的登陸信息�����,如果Cookie被劫持�����,那就暴露了用戶信息��,更嚴(yán)重的是攻擊者可以用此登陸被害人的賬號(hào)�����。
2: SQL注入
指客戶可以向服務(wù)器提交一段SQL代碼�。
預(yù)防:
1: 做表單驗(yàn)證,過(guò)濾特殊字符
3: 跨站請(qǐng)求偽造(CSRF:Cross Site Request Forgery)
指B站的攻擊者可以得到在A站某個(gè)請(qǐng)求的所有參數(shù)���,在B站發(fā)起一個(gè)屬于A站的請(qǐng)求�����,這就是跨站請(qǐng)求�。例如:
GET http://a.com/item/delete?id=1
客戶登陸了A站��,然后又去訪問(wèn)B站����,在B站請(qǐng)求了一張圖片
這時(shí)候受害者在不知道的情況下發(fā)起了一個(gè)刪除請(qǐng)求。
防御:
每一個(gè)請(qǐng)求都加一個(gè)token,服務(wù)器端對(duì)每個(gè)請(qǐng)求都驗(yàn)證token��。
4: 點(diǎn)擊劫持(ClickJacking)
用一個(gè)透明的iframe覆蓋在網(wǎng)頁(yè)上,欺騙客戶在這個(gè)iframe上操作���。解決的辦法是從根源上解決����,也就是條件式地允許iframe的嵌入��。在HTTP頭:X-Frame-Options設(shè)置自己想要的值:
DENY:禁止任何頁(yè)面的frame加載�;
SAMEORIGIN:只有同源頁(yè)面的frame可加載;
ALLOW-FROM:可定義允許frame加載的頁(yè)面地址�����。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/83533.html
