web安全

1 XSS: Cross Site Scripting

2 SQL Injection  脚本注入

    允许用户在可编辑容器中编写内容,或者从第三方获取内容,然后生成URL parameters,

    解决方案:需要对可输入的内容做安全性检测, 控制内容的安全性。

        content-security-policy:控制可以加载的资源文件的路径 CSP

        X-XSS-Protection: disable 0 enable 1 block;当发现反射的xss攻击,禁止加载页面

2 XSRF: Cross Site Request Forgery

    伪基站请求,假冒用户信息,网站发送用户的敏感信息或获取用户的个人信息。

    在发送请求的时候,验证请求的来源,一般发生跳转到第三方网站, 利用表单可以提交到第三方网站:

    解决方案:对于form提交,新增一个隐藏的token验证,或者针对每个request,判断origin是否可靠和一致;

3 点击劫持:

     一些第三方网站,推送某些游戏广告,在点击玩耍广告游戏的同时,劫持你的点击事件,然后定位iframe到该鼠标点击的地方 ,就像是用户自主点击到iframe上;

    解决方案:设置reponse header: X-Frame-Option deny sameorigin allow-from uri

你可能感兴趣的:(web安全)