要做好防XSS、CSRF、SQL注入攻击.DDOS攻击。
XSS概念:
译为跨站脚本攻击,具体是指攻击者在Web页面里插入恶意Script脚本,当用户浏览该网页时, Script代码会被执行,从而进行恶意攻击。
XSS预防:
关键cookie字段设置httpOnly输入检查,特殊字符< > / &等,对其进行转义后存储
CSRF概念:
本质上讲,是黑客将一个http接口中需要传递的所有参数都预测出来,然后不管以什么方式, 他都可以根据他的目的来任意调用你的接口,对服务器实现CURD。
CSRF预防:
使用验证码,更高级用图灵测试
SQL概念:
通常没有任何过滤,直接把参数存放到了 SQL语句当中
SQL预防:
根本上防止SQL注入的方法,就是参数化查询或者做词法分析。
DDOS概念:
利用木桶原理,寻找利用系统应用的瓶颈;阻塞和耗尽;当前问题:用户的带宽小于攻击的规 模,噪声访问带宽成为木桶的短板。DDOS预防:用软硬件结合的方式来防御是最有效的
Was this helpful?
0 / 0