1.XXS跨站脚本攻击(cross site scripting)
通过script
append(html eval) 注入代码
通过img标签
通过url(在通过url获取信息时时,建议由后端进行获取,再由前端进行转义)
2.CSRF攻击 (跨站请求伪造)
1.你在一个网站登陆过所以由cookies信息
2.你在访问别的网站进行操作时,这个网站向你之前访问过的网站发送请求
解决办法:
1.增加token验证;因为cookie发送请求会自动添加,然而token不会,这样就避免了攻击
2.referer验证;页面来源的判断。
3.网络劫持攻击
我们在访问网站的时候,不是一次性通过网站到达服务器,中间会经过很多层代理。所以我们在外连接wifi的时候,如果这个wifi是黑客建立的,黑客可以通过wifi获取用户信息;
解决办法: 对网站进行https加密。
4.控制台代码注入
5.钓鱼类网站
原文:http://www.cnblogs.com/bencorry/p/7594885.html