关于Web服务中的常见的攻击手段以及安全防护措施

1，XSS攻击

XSS攻击全称是跨站脚本语言攻击，是Web应用程序中最常见的攻击手段，跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序，当用户打开该程序时盗取用户的cookie，密码以及相关用户资料。

防范措施，因为用户的输入数据都变成了代码，所以我们需要将用户的输入数据进行相关转义处理，现在可以使用jstl，structs等的标签进行转义。

如：只需要将escapeXml修改为true就可以将html代码中的变量进行转义处理。

2，CRSF攻击

CRSF攻击的全称是跨站请求伪造，是一种对网站的恶意利用，伪造合法用户的身份进行攻击。一般来讲CSRF是伪装来自受信任用户的请求来利用受信任的网站，并向第三方网站发送恶意请求。包括利用你的身份发送邮件，发送即时消息，银行转账等。

防范措施：

1），将cookie设置为HttpOnly

2），增加token

3），通过Referer识别。

未完待续。。。。。。。。。。