码迷,mamicode.com
首页 > Web开发 > 详细

常见的web攻击及其防御

时间:2019-08-25 22:55:13      阅读:73      评论:0      收藏:0      [点我收藏+]

标签:head   标准   开发   prot   ade   传递   而不是   伪造   输入数据   

一、XSS(跨站脚本攻击)

攻击者在 Web 页面中插入恶意脚本,当用户浏览页面时,促使脚本执行,从而达到攻击目的

解决方式:

1、从客户端和服务器端双重验证所有的输入数据,这一般能阻挡大部分注入的脚本

2、对所有的数据进行适当的编码

3、设置 HTTP Header: "X-XSS-Protection: 1"

二、DDos分布式拒绝服务

发送大量请求,使服务器瘫痪

解决方式:

1、检测技术,检测网站是否正在遭受 DDoS 攻击

2、清洗技术,清洗掉异常流量。

三、CSRF跨站请求伪造

用户本地存储cookie,攻击者利用用户的cookie进行认证,然后伪造用户发出请求

解决方式:

1、检查标准头部,确认请求是否同源

2、检查 CSRF Token

四、SQL注入

通过用户输入,拼接成恶意sql,并执行

解决方式:

1、参数化的查询语句可以强制应用开发者首先定义所有的 sql 代码,之后再将每个参数传递给查询语句

2、使用语言自带的存储程序,而不是自己直接操纵数据库

3、验证用户的输入

4、对用户提供的所有的输入都进行编码

常见的web攻击及其防御

标签:head   标准   开发   prot   ade   传递   而不是   伪造   输入数据   

原文地址:https://www.cnblogs.com/kingshine007/p/11409756.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有 京ICP备13008772号-2
迷上了代码!