XSS攻击
借助js实现的攻击,在服务端没有对<>进行转译显示的时候发生。导致用户在浏览页面时会运行xss攻击插入的js代码。可以获取cookie信息。
解决方案:在页面内容输出的时候做转译,将<>转译成 & lt;和& gt;
nodejs中通过escape库简单搞定。
就是在返回页面内容的时候,先用escape库处理一下,而不是直接返回内容。
SQL注入攻击
利用服务器拼接sql字符串,拼接出各种sql,在服务端执行。使服务端数据泄露,甚至被任意篡改。
解决方案:采用sql预编译。
sql预编译就是事先生成模板,然后填入参数,严格按参数类型进行填入。
网友评论