常见的web安全问题,原理和防范措施。
- sql注入
- XSS(跨站脚本攻击, Cross-Site Scripting)
- CSRF(跨站请求伪造, Cross-site request forgery)
什么是sql注入?
如何防范sql注入?
原则:永远不要相信用户的任何输入
什么是xss(Cross Site Scripting), 跨站脚本攻击
- 恶意用户将代码植入到提供给其他用户使用的页面中,未经转义的恶意代码输出到其他用户的浏览器中被执行
- 用户浏览页面的时候嵌入页面的脚本(js)会被执行,攻击用户。 比如dom中: document.cookie 可以获取页面的cookie信息。
- 主要分为两类: 反射型(非持久型), 存储型(持久型)
如何防范XSS呢?
不要相信用户的任何输入!