多平台统一管理软件接口,如何实现多平台统一管理软件接口
364
2022-10-05
什么是SQL注入、XSS以及CSRF?【网络安全知识培训】(sql注入攻击和xss攻击的主要区别)
想必很多人都看到过SQL注入、XSS以及CSRF这三个词,但大部分人对它根本不了解,甚至不知道其含义是什么。接下来,小编为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。 SQL注入 SQL注入属于注入式攻击,这种攻击是因为在项目中没有将代码与数据隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。 如何处理SQL注入情况?三个方面: 1、过滤用户输入参数中的特殊字符,降低风险; 2、禁止通过字符串拼接sql语句,严格使用参数绑定来传入参数; 3、合理使用数据库框架提供的机制。 XSS XSS,跨站脚本攻击,Cross-Site Scripting,为了和前端的CSS避免重名,简称为XSS,是指通过技术手段,向正常用户请求的HTML页面中插入恶意脚本,执行。 这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上,主要就是通过对用户输入的数据做过滤或者或者转义,可以使用框架提供的工具类HTML Util,另外前端在浏览器展示数据的时候,要使用安全的API展示数据。比如使用inner text而不是inner HTML。 CSRF 跨站请求伪造,在用户并不知情的情况下,冒充用户发送请求,在当前已经登录的Web网站上执行恶意操作,比如恶意发帖,修改密码等。 大致来讲,与XSS有重合的地方,前者是黑客盗用用户浏览器中的登录信息,冒充用户去执行操作;后者是在正常用户请求的HTML中放入恶意代码,XSS问题出在用户数据没有转义,过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。 防范CSRF漏洞方式: 1、CSRF Token验证,利用浏览器的同源限制,在HTTP接口执行前验证Cookie中的Token,验证通过才会继续执行请求。 2、人机交互,比如短信验证码、界面的滑块等。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~