XML注入
XML注入又称为xxe攻击,发生在应用程序解析xmls时,没有禁止外部实体的加载。
修复方案:1.禁止外部实体的加载
2.对用户输入的参数进行严格校验
XSS
XSS分为存储型XSS、反射型XSS、DOM型XSS
存储型XSS
将用户输入的内容存储到数据库,经过处理显示到前端页面上,攻击时间持久,影响范围广,大多出现在留言板、评论区信息反馈等编辑器当中
反射型XSS
与存储型XSS不同,它不会将用户输入的内容存储到数据库,而是提交服务器进行处理,然后返回到前端页面当中。通常通过url进行攻击
DOM型XSS
DOM型XSS通过url进行攻击,不经过服务器处理,而是直接被前端页面的操作DOM脚本直接插入到HTML脚本当中。
修复方案:
1.对用户输入的参数进行严格过滤
2.对用户的输出进行HTML编码过滤、JS转义等等
CSRF
攻击者诱导受害者进入第三方网站,进入第三方网站中,向被攻击的网站发送跨站请求,利用用户在被攻击的网站的登陆凭证,绕过后台的登陆验证,达到登录被攻击网站进行操作的目的。
修复方案:
1.referer验证
2.token验证