一、XSS
【Cross Site Script】跨站脚本攻击
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
防御方法:
1.过滤关键字:script javascript等
/**
* [hasIllegalChar 判断是否含有script非法字符]
* @param {[type]} str [要判断的字符串]
* @return {Boolean} [true:含有,验证不通过;false:不含有,验证通过]
*/
function hasIllegalChar(str) {
return new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str);
}
2.限制输入,规定输入的只能是某些格式的数据
/**
将含有<>等符号转化为其他字符简单方便
**/
function safeStr(str){
return str.replace(/</g,'<').replace(/>/g,'>').replace(/"/g, """).replace(/'/g, "'");
}
二、 CSRF
【Cross Site Request Forgery】站点伪造请求
跨站点参考伪造通过在访问用户被认为已经通过身份验证的Web应用程序的页面中包含恶意代码或链接来工作。 如果该Web应用程序的会话没有超时,攻击者可能执行未授权的命令。
防御方法:
1.在请求地址中添加 token 并验证
2.在HTTP 头中自定义属性并验证
3.验证 HTTP Referer 字段 ;
(Http协议头中的Referer主要用来让服务器判断来源页面, 即用户是从哪个页面来的,通常被网站用来统计用户来源,是从搜索页面来的,还是从其他网站链接过来,或是从书签等访问,以便网站合理定位.Referer有时也被用作防盗链, 即下载时判断来源地址是不是在网站域名之内, 否则就不能下载或显示,很多网站,如天涯就是通过Referer页面来判断用户是否能够下载图片.)
三、SQL注入
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
防御方法:
1.采用sql语句预编译和绑定变量,是防御sql注入的最佳方法。采用JDBC的预编译语句集,它内置了处理SQL注入的能力,只要使用它的setXXX方法传值即可。
2.使用正则表达式来过滤一些sql关键字,如or、where等。
四、文件上传攻击
防御方法:
- 文件上传的目录设置为不可执行。
- 判断文件类型。在判断文件类型的时候,可以结合使用MIME Type,后缀检查等方式。因为对于上传文件,不能简单地通过后缀名称来判断文件的类型,因为攻击者可以将可执行文件的后缀名称改为图片或其他后缀类型,诱导用户执行。
- 对上传的文件类型进行白名单校验,只允许上传可靠类型。
- 上传的文件需要进行重新命名,使攻击者无法猜想上传文件的访问路径,将极大地增加攻击成本。
- 限制上传文件的大小。
- 单独设置文件服务器的域名。
