web攻擊一般包括XSS(cross site scripting涌乳,跨站腳本攻擊蜻懦;為啥不叫CSS?對夕晓,和那個層疊樣式表重了)攻擊宛乃、CSRF(cross site request forgery,跨站請求偽造)。
XSS攻擊說白了征炼,就是將一段邪惡的js代碼放在請求中析既,就像是一顆地雷,由服務器去"踩"它谆奥,從而達到攻擊的目的眼坏。
其中XSS又分為反射型和持久型。
反射型XSS直接在http請求中加入js代碼酸些,一次性的宰译,這個偽造的鏈接訪問一次就觸發(fā)一次"雷";持久型XSS可以將js持久化到服務器擂仍,讀取它并在瀏覽器端執(zhí)行時觸發(fā)"雷"囤屹。
解決方案: 大多數(shù)是在服務器端加個過濾器,將特殊字符過濾掉逢渔,或者轉(zhuǎn)義!乡括!
說明: 本文并未涉及不安全的算法肃廓,比如https中的TLSv1.2以下的版本都多少包括不安全的算法(比如tls1.1、tls1.0诲泌、ssl3.0盲赊、ssl2.0),這里涉及到的安全加解密算法太多了敷扫,對稱的哀蘑、非對稱的、簽名的等等葵第,不一一列舉绘迁。有時間會單獨寫一下。
