常见web攻击(sql注入,xss攻击,csrf攻击)

sql注入攻击

危害

方式:通过表单提交加入特殊字符 如:' OR 1=1#'

防范:用django的ORM,就大可不必考虑这个问题,   如果自己写,要用正则和其他方式进行过滤

xss(Cross Site Scripting)跨站脚本攻击

危害:

方式:

防范:

1, 首先要对用户输入的地方和变量,仔细检查长度和对" <" ," >" ." ' 等字符进行过滤

2,避免直接在cookie中泄露用户隐私,如email,密码等等,通过使用cookie和系统ip绑定来降低cookie泄露后的危险

3,使用POST提交表单而不用GET

csrf(Cross-site request forgery)跨站请求伪造攻击

危害:

方式:

防范:在django中表单提交是需加入{% csrf_token %},如果自己加校验,得自动生成token令牌.后台先校验