-
CSRF 是什么?如何防范?
CSRF(Cross-site request forgery)通常被叫做「跨站请求伪造」,可以这么理解:攻击者盗用用户身份,从而欺骗服务器,来完成攻击请求。
防范措施:
1.使用验证码
2.给每一个请求添加令牌 token 并验证 -
XSS 是什么?如何防范?
XSS(Cross Site Scripting),跨站脚本攻击,攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。
防范措施:
防止 XSS 攻击的方式有很多,其核心的本质是:永远不要相信用户的输入数据,始终保持对用户数据的过滤。 -
什么是 SQL 注入?如何防范?
SQL 注入就是攻击者通过一些方式欺骗服务器,结果执行了一些不该被执行的 SQL。
SQL 注入的常见场景
数据库里被注入了大量的垃圾数据,导致服务器运行缓慢、崩溃。
利用 SQL 注入暴露了应用程序的隐私数据
防范措施:
保持对用户数据的过滤
不要使用动态拼装 SQL
增加输入验证,比如验证码
对隐私数据加密,禁止明文存储