web安全

1 XSS: Cross Site Scripting

2 SQL Injection  脚本注入

    允许用户在可编辑容器中编写内容，或者从第三方获取内容，然后生成URL parameters，

    解决方案：需要对可输入的内容做安全性检测， 控制内容的安全性。

        content-security-policy：控制可以加载的资源文件的路径 CSP

        X-XSS-Protection： disable 0 enable 1 block；当发现反射的xss攻击，禁止加载页面

2 XSRF: Cross Site Request Forgery

    伪基站请求，假冒用户信息，网站发送用户的敏感信息或获取用户的个人信息。

    在发送请求的时候，验证请求的来源，一般发生跳转到第三方网站， 利用表单可以提交到第三方网站：

    解决方案：对于form提交，新增一个隐藏的token验证，或者针对每个request，判断origin是否可靠和一致；

3 点击劫持：

     一些第三方网站，推送某些游戏广告，在点击玩耍广告游戏的同时，劫持你的点击事件，然后定位iframe到该鼠标点击的地方 ，就像是用户自主点击到iframe上；

    解决方案：设置reponse header： X-Frame-Option deny sameorigin allow-from uri