XSS 攻击
跨站脚本攻击(Cross Site Scripting),就是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。比如读取cookie,session,tokens,或者网站其他敏感的网站信息,对用户进行钓鱼欺诈等。
常见的 XSS 攻击有反射型和持久型。
反射型
可以使用 http-only 让恶意脚本获取不到cookie,或者用一些转义字符,比如<转义为<, >转义为> 。
持久型
CSRF 攻击
跨站请求伪造(Cross-site request forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,比如发消息,盗取你的账号,甚至于购买商品。
预防攻击:
1、cookie设置为HttpOnly,js脚本就无法窃取cookie。
2、随机token:返回一个页面的时候带一个随机token,发送的时候附加随机token,验证通过才执行请求。
3、验证码:比如拼图的,验证成功才能执行请求。
4、Referer请求头:位于http报文中,标识请求的来源的地址,验证这个请求是不是从自己的页面里来的,如果是才执行请求。
DDoS攻击
DDoS攻击(Distributed Denial of Service)中文是分布式拒绝服务。一般来说是指攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求,大规模消耗目标网站的主机资源,让它无法正常服务。
还有一种SYN Flood模式的DDoS攻击:
SQL 注入
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击。
对数据库进行恶意的删除和更改。