Web安全

从前慢pearl · · 2620 次点击 · · 开始浏览    
这是一个创建于 的文章,其中的信息可能已经有所发展或是发生改变。

1,XSS(Cross Site Scripting)跨站脚本攻击

(用户对指定网页的信任)
攻击者在网页嵌入客户端脚本(如JavaScript),当用户浏览网页时,浏览器运行脚本,达到攻击者的目的,如获取cookie,导航到恶意网站,携带木马等。
如:用户A在某个论坛评论区,添加获取登录cookie的JavaScript脚本,用户B登录后,浏览器自动运行用户A加入到评论区的脚本获取用户B的登录名和密码,窃取用户B的隐私。


图片.png


XSS的成因及如何避免:


图片.png

图片.png


总结:不要让用户输入类似HTML代码或JavaScript代码
1)验证输入内容:验证输入内容,并把可以符号变成HTML实体或转义
2)自己不要坑自己:不要原样输出用户输入的内容

2,CSRF(Cross Site Request Forgery)跨站请求伪造

(网站对用户浏览器网页的信任)
挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法

列如:


图片.png


防止CSRF攻击:
1)检查Referer字段(http头部字段)
2)添加校验token(类似验证码),用户输入验证码信息,把输入的验证码和随机生成的验证码一并提交到服务器供服务器检验

3,SQL注入

https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/09.4.md


有疑问加站长微信联系(非本文作者)

本文来自:简书

感谢作者:从前慢pearl

查看原文:Web安全

入群交流(和以上内容无关):加入Go大咖交流群,或添加微信:liuxiaoyan-s 备注:入群;或加QQ群:692541889

2620 次点击  
加入收藏 微博
暂无回复
添加一条新回复 (您需要 登录 后才能回复 没有账号 ?)
  • 请尽量让自己的回复能够对别人有帮助
  • 支持 Markdown 格式, **粗体**、~~删除线~~、`单行代码`
  • 支持 @ 本站用户;支持表情(输入 : 提示),见 Emoji cheat sheet
  • 图片支持拖拽、截图粘贴等方式上传