[关闭]
@phper 2018-10-23T10:21:30.000000Z 字数 1199 阅读 491

活动开发基础知识培训

培训


web安全

web安全是活动开发过程中,最为重要,稍微疏忽和不小心,就会让黑客有机可乘。

常见的web安全有哪些

常见的web安全的漏洞有XSS、CSRF、SQL注入以及防道具,下面一一介绍下

XSS

xss攻击全称跨站脚本攻击,它是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

比如攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。

XSS分类

反射型:把用户输入的数据“反射”直接输出到浏览器页面。
存储型:把用户输入的数据“存储”到服务器,然后通过客户端读取服务器数据并且显示。
DOM型:通过修改页面DOM节点来形成攻击。

反射性

XSS危害
  1. cookie劫持,窃取用户的cookie,进行登录。
  2. XSS蠕虫,利用漏洞进行传播一些危害的内容。
  3. 恶意修改用户数据,欺骗服务器。
常用过滤方法

总体的思路是不要相信用户传递的任何数据,都需要进行过滤和比对转换

常用的防范手段是:

  1. 编码:对用户输入的数据进行实体编码
  2. 过滤:移除用户上传的HTML属性,如onerror等,移除用户上传的style节点,script节点,iframe节点等。
  3. 校对:比对用户上传的数据类型是否和该字段本身一直,并且强制转换。
CSRF

跨站请求伪造(英语:Cross-site request forgery),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

CSRF的危害

就是说冒充用户发起请求(在用户不知情的情况下),完成一些违背用户意愿的请求(如恶意发帖,转账,改密码,发邮件等)。只要是伪造用户发起的请求,都可成为CSRF攻击。

CSRF防范

服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数token。通过比对客服端传递的token和服务端是否一直来判断请求的合法性。

sql注入

数据库

分库分表

索引选择

索引优化

礼包相关

礼包相关概念

礼包的检查核对

礼包防刷机制

资格控制

资格控制的相关概念

如何做好资格控制

角色校验

角色的基本概念

角色校验的方法

角色校验的注意事项

防并发

并发的概率

并发带来的损害

如何防并发

活动中常用的方并发收到

敏感词过滤

什么是敏感词

敏感词的危害

如何顾虑敏感词

添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注