web前端安全及防护

安全问题也是我们开发中不可忽视的问题。这里介绍三种常见的攻击及防护措施。

1、SQL注入：指的是将sql代码伪装到输入参数中，传递到服务器解析并执行的一种攻击手段。意思是：在对服务端发起的请求参数中植入一些sql代码，服务端在执行sql操作时，会拼接对应参数，同时也将一些sql注入攻击的‘sql’拼接起来，到只会执行一些预期之外的操作。
防范措施：1、对用户的输入进行校验；2、不适用动态拼接sql；3、转义输入输出的内容，对于引号，尖括号，斜杆进行转义。

2、XSS（跨站脚本攻击）：往web界面中插入恶意的html标签或者js代码。例如：在某个论坛放置一个看似安全的链接，窃取cookie中的用户信息。
防范措施：1、尽量采用post而不是用get提交表单；2、避免cookie中泄露用户的隐私

3、CSRF（跨站请求伪装）：通过伪装来自受信任用户的请求。比如可以通过CSRF跨站伪装请求qq音乐的数据
防范措施：验证码（最简洁有效）

XSS和CSRF的区别：
    1、XSS是获取信息的，不惜要提前知道用户页面的代码和数据包
    2、CSRF代替用户完成指定的动作，需要知道其他页面的代码和数据包