| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 网络协议 -> 网络安全知识嗷 -> 正文阅读 |
|
[网络协议]网络安全知识嗷 |
1. XSS Cross Site Scripting,跨站点脚本攻击,通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的非本站点HTML或者是JS进行的一种攻击 它可以利用虚假的输入表单骗取用户信息,利用脚本窃取用户的cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求
防范手段:
启用XSS过滤(通常浏览器时默认的),如果监测到跨站脚本攻击,浏览器将会清除页面(删除掉不安全的部分)
内容安全策略是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括XSS和数据注入等攻击 本质时建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行,我们只需要配置规则,如何拦截是浏览器自己实现的
思想:用户的输入永远不可信任,最普遍的做法就是转义输入输出的内容,对于引号,尖括号,斜杠进行转义
这是预防XSS攻击窃取用户cookie最有效的防御有段,Web应用程序在设置cookie时,将其属性设置为HttpOnly,就可以避免该网站的cookie被客户端恶意JavaScript窃取,保存用户cookie信息
2. CSRF Cross Site Require Forgery 跨站请求伪造,是一种常见的Web攻击,他利用用户已登陆的身份,在用户毫不知情的情况下以用户的名义完成操作
危害:利用用户登录态,完成业务请求,冒充用户发帖背锅,损害网站声誉 防御手段:
3.点击劫持 - clickjacking 点击劫持是一种视觉的欺骗手段,攻击者将需要攻击的网站通过iframe嵌套的方式嵌套入自己的网页中,并将iframe设置为透明,在页面中透出一个按钮诱惑用户点击 防御手段:
4. SQL注入 填入特殊的密码:1 ‘or’ 1 ‘=’ 1
防范手段: 所有查询语句建议使用数据库提供的参数化查询接口**,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,既不要直接拼接SQL语句 5. OS命令注入 和SQL一样,只不过注入的内容是针对操作系统的,通过Web应用,执行非法的操作系统指令来达到攻击的目的
6. 请求劫持
|
|
网络协议 最新文章 |
使用Easyswoole 搭建简单的Websoket服务 |
常见的数据通信方式有哪些? |
Openssl 1024bit RSA算法---公私钥获取和处 |
HTTPS协议的密钥交换流程 |
《小白WEB安全入门》03. 漏洞篇 |
HttpRunner4.x 安装与使用 |
2021-07-04 |
手写RPC学习笔记 |
K8S高可用版本部署 |
mySQL计算IP地址范围 |
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/28 6:17:29- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |