客户端安全
1、跨站脚本攻击(XSS)
xss定义.PNG
危害:Cookie劫持
防御:
- Set-Cookie时给Cookie植入“HttpOnly”标识可以防止劫持(在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息);将Cookie与客户端IP绑定
- 用户输入检查(同时在客户端和服务端检查)
2、跨站点请求伪造(CSRF)
举例:用户在正常的网页浏览(如豆瓣已登录),此时有一个伪造的页面,而该页面上html里有个img标签的src属性值是操作豆瓣上用户某一资源的http请求,如删除某个帖子,这时只要用户打开了这个伪造页面,则会发生自己豆瓣帖子被删除的操作。能成功的原因是成功发生了Cookie。
浏览器Cookie策略.PNG
p3p.PNG
防御:
验证码.PNG
refer.PNG
csrf本质.PNG
token.PNG
token使用注意.PNG
3、点击劫持(ClickJacking)
点击劫持定义.PNG
点击劫持.PNG
防御:
禁止跨域的iframe
x-frame-options.PNG
x-frame-options-2.PNG
服务端安全
1、注入攻击
SQL注入
注入攻击本质.PNG
防御:
- 检出数据类
-
使用预编译语句
预编译语句.PNG
注入攻击小结.PNG
2、文件上传漏洞
文件上传漏洞.PNG
防御:
文件上传漏洞防御.PNG
DDOS
ddos介绍.jpg
tcp三次握手.jpg
SYN.jpg
应用层DDOS
应用层ddos介绍.jpg
主要是大量的查询数据库、读写硬盘文件操作会消耗较多资源
防御:
- 限制请求频率,通过ip和cookie
- 使用memcache
-
验证码
应用层ddos防御.jpg
网友评论