防范常见的Web攻击

1.xss跨站脚本攻击

比如在表单Input框里面输入一段js代码

"/><script>alert("xss")</script><

就会执行这一段脚本，弹出窗口

如何防范XSS攻击

前端，服务端需同时对HTML标签做转义处理。将其中的”<”,”>”等特殊字符进行转义编码。

2.CSRF攻击流程

1. 用户登录受信任网站A；
2. 在不退出网站A的情况下，访问危险网站B（攻击者网站或攻击者挂马的网站）。

例如：

如何防范CSRF攻击

1、token机制

在HTTP请求中进行token验证，如果请求中没有token或者token内容不正确，则认为CSRF攻击而拒绝该请求。

2、referer检测

在HTTP Header中有一个字段Referer，它记录了HTTP请求的来源地址，如果Referer是其他网站，就有可能是CSRF攻击，则拒绝该请求。
但是，服务器并非都能取到Referer。很多用户出于隐私保护的考虑，限制了Referer的发送。在某些情况下，浏览器也不会发送Referer，例如HTTPS跳转到HTTP。

3.SQL注入，关键是通过用sql语句伪造参数发出攻击

4.DDOS攻击（关键是通过手段发出大量请求，最后令服务器崩溃）

5.DNS劫持：

通过某些手段获得某域名的解析控制权，修改此域名的解析结果，导致对该

域名的访问由原 ip 地址转入到修改后的指定 ip。其结果是对特定的网址不能访问或访问的

是假网址。

参考：https://www.cnblogs.com/-new/p/7135814.html