什么是SQL注入、XSS以及CSRF?【网络安全知识培训】（sql注入攻击和xss攻击的主要区别）

什么是SQL注入、XSS以及CSRF?【网络安全知识培训】（sql注入攻击和xss攻击的主要区别）

想必很多人都看到过SQL注入、XSS以及CSRF这三个词，但大部分人对它根本不了解，甚至不知道其含义是什么。接下来，小编为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。　　SQL注入　　SQL注入属于注入式攻击，这种攻击是因为在项目中没有将代码与数据隔离，在读取数据的时候，错误的将数据作为代码的一部分执行而导致的。　　如何处理SQL注入情况?三个方面：　　1、过滤用户输入参数中的特殊字符，降低风险;　　2、禁止通过字符串拼接sql语句，严格使用参数绑定来传入参数;　　3、合理使用数据库框架提供的机制。　　XSS　　XSS，跨站脚本攻击，Cross-Site Scripting，为了和前端的CSS避免重名，简称为XSS，是指通过技术手段，向正常用户请求的HTML页面中插入恶意脚本，执行。 　　这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上，主要就是通过对用户输入的数据做过滤或者或者转义，可以使用框架提供的工具类HTML Util，另外前端在浏览器展示数据的时候，要使用安全的API展示数据。比如使用inner text而不是inner HTML。 　　CSRF　　跨站请求伪造，在用户并不知情的情况下，冒充用户发送请求，在当前已经登录的Web网站上执行恶意操作，比如恶意发帖，修改密码等。　　大致来讲，与XSS有重合的地方，前者是黑客盗用用户浏览器中的登录信息，冒充用户去执行操作;后者是在正常用户请求的HTML中放入恶意代码，XSS问题出在用户数据没有转义，过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。　　防范CSRF漏洞方式：　　1、CSRF Token验证，利用浏览器的同源限制，在HTTP接口执行前验证Cookie中的Token，验证通过才会继续执行请求。　　2、人机交互，比如短信验证码、界面的滑块等。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。