1、XSS攻击:跨站点脚本攻击(Cross Site Script)
    XSS攻击者一般是通过嵌入恶意脚本达到目的,窃取用户cookie,Session,有[反射型(传播)、持久型(持久化到数据库中)]
    1)消毒:对HTML危险字符进行转义后保存。(“<” 转为 “>”);
    2)HttpOnly 设置Cookie信息;

    2、注入攻击:
    SQL注入和OS注入攻击。
    1)消毒:正则匹配 过滤请求中可能注入的SQL;
    2)参数绑定,预编译;

    3、CSRF (Cross Site Request Forgery,跨站点请求伪造)
    合法的身份进行非法操作。其核心是利用浏览器Cookie或者服务器Session策略,盗取用户身份。
    1)表单token。每次请求,返回一个随机token ,随请求返回后台校验操作身份;
    2)验证码(多用于登录,支付,修改密码操作);
    3)Referer check.HTTP请求头的Referer域中记录着请求来源,可以通过检查来源判断;

    4、信息加密技术和密钥安全管理
    常用的信息加密技术可分为三类:单向散列加密、对称加密、非对称加密。
    4.1 单向散列加密:MD5、SHA 多用于密码存储。其特点是:输入的任何微小变化都会导致输出的完全不同,这个特性有时也会被用来生成信息摘要、计算具有高离散程度的随机数等用途。
    4.2 对称加密:DES/RC算法。加密解密使用同一个密钥,加解密效率高,开销小,适合对大量数据加密。一旦泄露,所有的加密等同虚设。
    4.3 非对称加密:RSA算法,公私钥对。