浏览器和服务端进行适当的代码转义即可防范大部分xss攻击,除此之外,还可以禁止一些不安全的操作,比如加载外域代码,控制内容输入长度,http-only(禁止js操作cookie),验证码等. 还有csp - 内容安全策略
感觉对比上面的csrf攻击,主要区别是:xss是利用用户对网站的信任,csrf是利用网站对用户操作的信任。
更多详见: 美团web安全-xss
sql注入其实和xss攻击中提及的数据库部分是一样的。
比如有这样一段sql语句:
sql = "select * from users wherelanguage-javascript">select * from users where or '1'='1';这样不仅执行了原本的sql,还执行了攻击者的代码。
解决方法同上。
DDoS攻击说白了就是过载,玩过炉石应该能具象出一副过载的画面吧~
你当前回合过载了,那你下回合就得休息休息。类比服务端也是一样的。如果处理的事务过多,后面的只能耐心等待(休息)。
药我们可以限制ip的流量,有钱的话多整点服务也行,嘿嘿~
总结内容不多,但是尽量有用。
web安全是网站应用诞生的产物,一个攻一个守,本文介绍的只是冰山一角,希望能帮到有需要的人。
最近发现博客园上的图片不会自动转成自己的图床cdn地址,依然使用的外站,导致图片资源403,也是让我挺头疼了,虽然加了meta:
<meta content="never">但是在部分手机浏览器上还是有问题,再贴一个防盗链文章地址吧。留给自己看~
这篇就到这啦~
拜了个拜~