- xss 脚本攻击:
xss 脚本攻击是攻击者在输入框写入不安全脚本,来攻击目标网站, 解决方法: 对输入框的内容进行过滤 - csrf 跨站网站伪造
csrf 是用户在已经验证过身份的网页登录后,服务端返回cookie,然后在同一浏览器在开一个tab 页面,这个页面是个不安全的网站,然后这个不安全的网站或者用户登录的cookie,在不安全的网站用cookie伪装身份后向服务器发送请求。对于不安全的cookie ,可以设置cookie.setHttpOnly(httpOnly) 阻止通过脚本来才做cookie
解决方法:
1.HTTP 验证Referer字段,这个字段是请求来源字段,可以验证来自是来自哪里的请求。服务端验证这个字段,如果不是白名单里的字段,就不会返回资源给客户端。
2.添加token 验证, 用户请求的时候下发 token给客户端,客户端把这个token 放进url 或者隐藏域中带回给服务端,服务端验证这个token 是否正确。
3. 自定义http 请求头, - 界面操作劫持
就是攻击者伪造一个透明iframe,并在ifram 上伪造按钮放在目标按钮上。用户实际点击的是攻击者想让用户点击的。
解决方法:
1.在http 相应头中添加一个字段, X-Frame-Options来限制是否ifram 设置 deny 就是不能有iframe
2.iframe sandox 属性进行安全限制, 可以阻止脚本执行,阻止头部导航,阻止表单提交等
若有收获,就点个赞吧
0 人点赞
