有关WEB应用的安全性

常见的攻击方式及基本防护方法

1.cookie篡改.可以对cookie进行加密签名.应尽量避免在cookie中保存重要数据.

2.跨站脚本攻击.在接受请求或者返回生成的html页面时对内容进行转译.

3.SQL注入攻击.在程序代码中写SQL语句时使用占位符绑定的方式添加参数.决不能使用字符串连接方式生成SQL语句执行.

4.跨站点请求伪造.对于应用中的所有重要业务请求添加鉴权令牌.例如为页面表单添令牌的隐藏域,随表单提交.