跨站攻击

怎么防止跨站攻击： 表单：在 Form 表单中添加一个隐藏的的字段，值是 csrf_token。 非表单：在ajax获取数据时，添加headers:{ 'X-CSRFToken':getCookie('csrf_token') }。 原理：在浏览器访问网站A时，网站A设置cookie会增加随机值csrf_token，这个值是随机的。返回给浏览器时，cookie会储存在浏览器，同时会把csrf_token传给表单里面的隐藏字段。所以当浏览器用自己的表单时会自带csrf_token，网站A取到这个值和cookie里的csrf_token一致就通过。而网站B里面的表单没有这个值，所以不能通过，这样就阻止了恶意攻击。非表单也是这样的原理。 CSRF：无法获取受害者的cookie，无法看到cookie； 只是利用受害者是被服务器信任的（靠验证cookie），而给服务器发送请求； 来源： https://www.cnblogs.com/shengguorui/p/11365832.html

转自： http://www.cnblogs.com/jannock/archive/2008/07/25/1251180.html#_Toc204593430 安全开发手册（初稿） 目录 一、 输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式： 4 二、 输出编码 6 1. 输出的种类 6 2. 输出编码的必要性 6 3. 输出编码 6 4. 常用测试输出方法 8 三、 防止SQL注入 10 1. 什么是SQL注入 10 2. SQL注入的种类 10 3. 如何防止SQL注入 10 3.1 SQL注入产生的原因： 10 3.2主要防御方式： 10 3.3 辅助防御方式 12 四、 跨站脚本攻击 14 1. 什么是跨站脚本攻击 14 2. 跨站脚本攻击的危害 14 3. 如何防止跨站脚本攻击 14 3.1 主要防御方式 14 3.2 辅助防御方式 15 4．XSS漏洞另一个攻击趋势 15 五、 跨站请求伪造 17 1. 什么是跨站请求伪造 17 2. 跨站请求伪造的危害 17 3. 如何防止跨站请求伪造 17 3.1主要防御方式： 17 3．2辅助防御方式： 18 六、 越权操作 19 1. 什么是越权操作 19 2. 越权操作的危害 19 3. 如何防止越权操作 19 七、 IO操作安全 20

XSS攻击是Web攻击中最常见的攻击手法之一，XSS中文名跨站脚本攻击，该攻击是指攻击者在网页中嵌入恶意的客户端脚本，通常是使用JS编写的恶意代码，当正常用户访问被嵌入代码的页面时，恶意代码将会在用户的浏览器上执行，所以XSS攻击主要时针对客户端的攻击手法。 当下常见的 XSS 攻击有三种：反射型、DOM型、存储型。 其中反射型、DOM型可以归类为非持久型 XSS 攻击，存储型归类为持久型 XSS 攻击。 练习环境： https://github.com/lyshark/xss-labs.git 来源： https://www.cnblogs.com/LyShark/p/11330674.html