關於Web安全的理解

目前只看了三種攻擊方式

一.xss跨站指令碼攻擊

二.sql注入

三.csrf跨站請求偽造

反射型xss攻擊

此種攻擊通俗點講，就是在使用者輸入的地方，輸入一些惡意的指令碼，通常是textarea，然後通過某種方式立即執行，然後獲取到一些想要得到的資訊，比如cookie等，然後傳送到自己的伺服器。（沒有想到具體哪些案例會立即執行）

此種攻擊的解決方案一般是在使用者輸入的地方做一些過濾，過濾掉這一部分惡意指令碼。

儲存型xss攻擊

此種攻擊通俗點講，就是在使用者輸入的地方，輸入一些惡意的指令碼，通常是富文字編輯器或者textarea等地方，然後在讀取富文字的時候，如果沒有做過濾和限制，就會直接執行使用者輸入的惡意指令碼。儲存型說的就是資料會儲存到伺服器或者資料庫。

此種攻擊的解決方案和上面一樣，在使用者輸入的地方做一些過濾，過濾掉這一部分惡意指令碼。

dom型xss攻擊

dom型xss攻擊也是在使用者輸入的地方輸入一些指令碼，不同的是這個指令碼可能直接就在客戶端執行，不經過伺服器。

xss攻擊基本是在使用者輸入的地方輸入一些惡意指令碼，已達到以下的目的：

獲取cookie等一些重要的資訊

插入一些js或者css修改和破壞頁面結構

執行某段js，使頁面跳轉到其他頁面

基本的防禦方法就是在使用者輸入的地方或者顯示的地方：

過濾危險節點，如script，style，link，iframe等

過濾一些危險的屬性，如href，src等

對cookie設定httponly

修改資料的介面，盡量使用post請求

使用cookie同源策略

推薦的文章web安全之csrf攻擊其實還講了其他的幾種方法，但是都沒接觸過，不太理解，所以沒有寫下來。

對使用者輸入的內容進行校驗和過濾

不要動態拼接sql語句

不要使用管理員許可權連線資料庫

敏感欄位要進行md5加密