本文为web开发系列的一部分。
CSRF(Cross-site request forgery)攻击
跨站请求伪造主要方式为引导用户访问恶意站点,此站点发送非法请求同时包含cookie中有效用户信息,达成恶意攻击。
主要防止措施
- 由于攻击由恶意站点发起,阻止不明外域请求
- 由于恶意站点无法读取cookie等信息,给请求附加本域才能获取的信息
另外,现在服务接口设计多采用RESTful API无状态方式,一般不使用cookie/session认证机制,也就不会遭受CSRF攻击。
参考资料
XSS(Cross Site Scripting)攻击
跨站脚本攻击主要方式为将恶意代码注入到目标站点中,用户在目标站点中触发这些代码时获取敏感信息或执行非法操作。
主要防止措施
- 对于站点接收的入参,做好检查和过滤,防止代码注入。
参考资料
MITM(Man in the middle)攻击
当前互联网通讯的安全基础是HTTPS - HTTP over SSL。
HTTPS原理相关
中间人攻击通过在拦截并转发浏览器和服务器之间的通讯,能够欺骗HTTPS,获取甚至篡改通讯数据。
主要防止措施
- 采用证书(公钥)固定技术,客户端验证服务器端证书(公钥)是否合法。更严格的措施是进行双向证书验证,服务器端也验证客户端证书。
参考资料
更多内容请查看web开发系列
网友评论