前端之安全部分

XSS
跨站（域）脚本攻击，攻击者在web页面插入恶意script代码，当用户在浏览该页时，被嵌入的script代码自动执行，从而达到恶意攻击用户的目的。
分为存储型（会将用户输入的数据信息存储在服务器端，有很强的稳定性）与反射型（需要用户点击一个链接才能攻击成功，只是简单地将用户输入的数据信息反射给浏览器，非持久型）。
常表现为打后台（请求信息发送到服务端，后台未做处理会直接执行脚本）或钓鱼url

CSRF
跨站请求伪造，利用一个看起来正常的链接（a.com/a.html），暗中发送一个指向关于财产的（b.com/tran）的post请求，从而实现恶意攻击用户，前提是客户端必须一个网站生成cookie凭证存储在浏览器中，且该cookie未清除，客户端又tab一个页面进行访问。
防御：

• 验证码（并不是所有操作都要加验证码，可能会导致用户体验不好）；
• 验证Http Referer字段（检查referer来源，只有自己域名下的才能通过，缺陷服务器并非什么时候都可以取到referer，如
  https）；
• anti CSRF Token（使用cookie值加密，Token生成一定要随机）

DDOS
分布式拒绝服务攻击，利用“”僵尸网络“（数量庞大的僵尸程序通过一定方式组合，采用一对多的方式控制大型网络，控制者发布指令后，断开与僵尸网络的连接，控制指令会自动在僵尸程序间传播执行）控制多台计算机设备攻击一个站点，使正常请求无法访问该站点，攻击流量较大时，该服务器会挂掉。
主要攻击方法：

• 攻击带宽（当网络数据包的数量达到或超过上限时，会出现网络拥堵、响应缓慢的情况，利用该原理，使用反射攻击（源IP地址被伪造成攻击目标的IP）发送大量数据包来占满被攻击目标的带宽，造成正常请求失效，达到拒绝）；
• 攻击系统（TCP三次握手信息会存储在连接表中，但表的大小有限，超过存储容量时，无法建立新的TCP连接。建立大量恶意TCP连接或发送大量TCP
  SYN报文（服务器在短时间内产生大量半开连接）占满连接表，使得无法
  建立新的TCP连接，后者为SYN洪水攻击）；
• 攻击应用（向DNS服务器发送大量查询请求（若每个DNS解析请求所查询的域名不同，可有效避开服务器缓存的解析记录，达到更好的资源消耗）或不断向WEB服务器发送大量HTTP请求（要求WEB服务器处理，会完全占用服
  务器资源）来达到拒绝服务器）；

• 混合攻击（UDP及反射式大流量高速攻击，多协议及小流量慢速攻击）

  防御：设置高性能设备、保证带宽、及时升级、异常流量清洗、分布式集群防御等。

  刚开始学习，如有说的不对或不完善的，请指正！