安全

作者: Super曲江龙Kimi | 来源:发表于2020-09-03 15:13 被阅读0次

xss

1、用户输入什么直接显示在页面中,导致被恶意输入

<img src=xxx onerror='alert(1)'></img>
<img src=""><script>alert(document.cookie)<\/script>>
<script>alert(document.cookie)<\/script>

2、如果用户输入的前端没有校验发送给服务端,服务也没有校验,那么重新获取时就会出现攻击

解决:前端后台都需要对用户的输入进行校验、转义,url上也需要转义

csrf

如果用户在一个页面中登录后,用户信息保存到cookie中后, 当用户点击一个广告跳转到一个恶意网站,其中如果利用form来自动请求,会带着用户之前的cookie。此时如果是个转账操作就很危险

 <form name='myform' style="visibility: hidden" method="post" action="http://localhost:3000/pay">
        <input type="text" name="username" value="kimi">
        <input type="text" name="amount" value="1000">
</form>

document.myform.submit();

解决:
1、尽量不要存到cookie中
2、使用token,cookie会自动发送,而token则需要手动加上
3、判断refer来源,如果请求来源于非法则不响应

点击劫持

遮盖一层iframe设置透明,点击页面按钮其实点的是iframe中的按钮。
解决:判断请求头是否从iframe发起,如果是的话禁止

sql注入

用户输入sql语句到服务,服务直接执行导致sql崩溃
解决:对用户输入都不可信,前后端都需要校验

dns劫持

拦截dns域名解析,使其转换成一个假的ip。从而使用户跳转到假的网页
解决:不要动态获取dns解析地址,手动设置

相关文章

  • 安全?安全!安全。

    清早上班,小尚摇晃着手里的一张纸,感慨万千:四个人啊,一下子四个人,这个事故可不算小,五轮车从后边戳上他们,这伤啊...

  • 安全,安全,安全!

    早上大雾,能见度30米左右。远点一看以为后红绿灯坏了,啥都看不见,一片雾茫茫。走近一看才发现,原来是自己眼神不好,...

  • 安全,安全,行车安全

    这段时间上海这边对从事网约配送的电动车必须挂电子牌照议论纷纷。 电子牌照是电子监管,对于各类违反交规的行为拍照,然...

  • 安全,安全

    今天老公回来了,他说最近因为疫情,很多同事都休息了,只有他和一个同事坚守,好累,现在回家休息的同事大都返岗了,他终...

  • 97

    没有安全感没有安全感没有安全感没有安全感没有安全感没有安全感没有安全感没有安全感没有安全感没有安全感没有安全感没有...

  • 洗心良言,

    任何时候都要注意环境安全,卫生安全,经济安全,政治安全,心理安全,行为安全,语言安全。 要学会审时度...

  • API 安全

    什么是 API 安全 API 安全主要包括信息安全、网络安全、应用安全三个方面 信息安全 信息安全是你要保证系统所...

  • 青春期班会

    安全班会结束了,孩子们很棒,关于安全他们有太多话要说,校园安全、防溺水安全、交通安全、饮食安全、用电用火安全、防诈...

  • 最好的报答

    “安全是什么?安全是天,安全是地,安全是温暖的家,安全是感恩,安全是对亲人最好的报答。” 今年,全国安全生产月宣传...

  • 安全还是安全

    近来,安全事故频发,上头监管多严啊,咱们还是小心点为要! 这不,会议开了好长时间,尽管都是一个调调,也都是差不多的...

网友评论

      本文标题:安全

      本文链接:https://www.haomeiwen.com/subject/tbxosktx.html