立即注册
 找回密码
 立即注册

扫一扫,访问微社区

yyxx14
发表于: 2018-12-24 14:07:58 | 显示全部楼层

媒介


本文将先容一下三种网络攻击的办理方案:

  • XSS
  • CSRF
  • 脚本刷接口
XSS

XSS全称是Cross-site scripting,有点安全底子的同砚应该都知道。就是通过一些用户可以输入的界面,好比批评,填入一些非法字符,如>等雷同的方式,拿到攻击者想要的效果。
怎么防御呢?这种征象的产生缘故原由无非是,前端模板大概后端模板在渲染的时间没有举行字符转译,导致如许的字符直接就渲染到了页面上。
以是,我们只必要在渲染前做一次转译,将这些符号转为字符实体就好了。荣幸的是,如今的前端库,如vue,react,前端模板ejs,juicer,后端模板smarty,blade等,都已经内部做了转译了,开辟者舒畅的利用就好了。以是,实在我们完全不消做任何额外的工作。但是,照旧明白内部机制比力好。
CSRF

CSRF全称是Cross-site request forgery,很多多少公司不做这个这种攻击简直在现在,对用户大概公司的危害非常小,不外照旧要做的,由于,对于网络安全无小事。攻击场景的话,好比:网页有一个对作品点赞的功能,点赞提交地点为http://csrf.com/api.like?id=777,然后别的一个网站放了如许一个元素,如许的话,一旦用户进入这个bbb.com页面,就会哀求csrf.com/api.like这个接口,由于用户的登录信息尚未逾期,那就即是给id为888这个作品点赞了。
防御方式:

  • 后端判定referer是否正当
  • 每次哀求都要带上token,token是csrf.com页面渲染时一起带过来的,如许的话,假如不在csrf.com页面发起这个点赞哀求,token是不存在的,由于就能做到防御了。
脚本刷接口

这种攻击方式很简朴,最傻瓜的就是在chrome打开控制面板,到console里这么做$.get('/getPhoneVerifyCode')。
最常见的场景就是,有些人总会刷网站的手机验证码接口,导致公司在短信接口上话费更多的费用(什么鬼)。
防御方式:
现在公认的办理方案,就一种,验证码验证
留意,最好不要用图文辨认的验证码,那种很轻易被破解的,如今有许多新型的验证码方式,好比滑块式、图片位置点击式等等。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x

本版积分规则

主题:30 | 回复:30

快速回复 返回顶部 返回列表