WEB安全方向
浏览器沙箱机制
xss反射型,存储型,这个更多是后端
xss DOM Based,前端处理,decodeURIComponent赋值给InnerHTML
xss防御:
认证cookie,设置httponly
输入输出检查,进行特殊符号编码
富文本处理:iframe,script,base,form,使用白名单处理
csrf防御:
登录提交示例,后端对登录验证请求地址校验(验证码校验,token随机值)
前端加验证码
网络攻击:
1. DNS劫持(服务器请求拦截,勾结第三方运营商在IP做了手脚,但成本高)
2. http内容劫持(弹出其他广告),防御:https(https加密,服务器被攻击或者是运营商工作人员问题也是防御不了)
3. DDOS分布式拒绝服务攻击。利用合理的请求,造成资源过载,导致服务器不可用。
a. DDOS常见攻击三种:
syn flood攻击:针对网络tcp三次握手;
CC:应用层攻击,针对消耗比较大的接口进行不断请求(比如对redis请求接口问题);
slowloris: 服务器只能处理1000多个请求,这时候伪造1000多个请求,导致用户无法进入服务。
b. DDOS防御常见处理:流量处理,IP+cookie限制频率,CDN分流,请求较大的处理。
4. 短信轰炸:伪造一批手机号(加验证码处理)
原文:https://www.cnblogs.com/babyfacer/p/10871279.html