现在 Web 都是框架, 而且更新飞快.
MVC 层:
在 View 层可以解决 XSS 问题, XSS 是HTML 页面在服务器渲染时, 注入了恶意的 HTML 代码导致的.
CSRF 防御方案:
使用 ORM (Object Relation Mapping) 对SQL 注入有积极意义, 我们知道对抗SQL注入的最佳方式是使用“预编译绑定变量”。
DDOS 又称为分布式拒绝服务,Distributed Denial of Service, 目前没有太好的解决方法, DDOS 是利用合理的请求早证资源过载,导致服务不可用.
比如一个停车场有100个车位,当100个车位都停满后,再有车想要停进来,就必须等已有的车先出去才行,如果车一直不出去,那么停车场门口就会排起长队,停车场负荷过载,不能正常工作了,这种情况就 “拒绝服务”
黑客们通过控制“肉鸡”,组成“僵尸网络”,对网站发起DDOS 攻击。
常见的 DDOS 攻击有 SYN flood, UDP flood, ICMP flood. (SYN flood 是利用了TCP/IP的缺陷)
而 SYN flood 在攻击时,首先伪造大量的源IP地址,分别向服务器端发送大量的SYN包,此时服务器会返回SYN/ACK包,因为源地址是伪造的,所以伪造的IP并不会应答,服务器端没有收到伪造IP的回应,会重试3-5次并且等待一个SYN Time(一般30秒-2分钟), 如果超时,就丢弃这个连接。如果攻击者发起大量的这种半连接的请求,服务器耗费非常多的资源来处理这种半连接的请求。最后导致无法响应正常的请求,拒绝服务。
对抗 DDOS 主要有 SYN Cookie / SYN Proxy, safereset 等算法, 比如 SYN Cookie 是通过为每一个IP分配一个"Cookie", 统计每个IP的访问频率,如果短时间内收到大量的来自同一个IP地址的数据报,则认为被攻击,之后就丢弃这个IP过来的数据包。
原文:https://www.cnblogs.com/moveofgod/p/12362254.html