web安全篇-解决方案

web安全篇-解决方案

一.防范xxs攻击    为了防止持久型 XSS 漏洞，需要前后端共同努力 :

1 . 后端在入库前应该选择不相信任何前端数据，将所有的字段统一进行转义处理。     2 . 后端在输出给前端数据统一进行转义处理。           3 . 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据，任何字段都需要做转义处理。   基于Flash的跨站 XSS:        1 . 严格管理 cookie 的读写权限        2 . 对 Flash 能接受用户输入的参数进行过滤 escape 转义处理   未经验证的跳转 XSS:        1 . 对待跳转的 URL 参数做白名单或者某种规则过滤        2 . 后端注意对敏感信息的保护, 比如 cookie 使用来源验证。

二. 防范csrf攻击

方法一:Token 验证：（用的最多） （1）服务器发送给客户端一个token； （2）客户端提交的表单中带着这个token。 （3）如果这个 token 不合法，那么服务器拒绝这个请求。

方法二：隐藏令牌：把 token 隐藏在 的 head头中。方法二和方法一有点像，本质上没有太 大区别，只是使用方式上有区别。

方法三、Referer 验证：Referer 指的是页面请求来源。意思是，只接受本站的请求，服务器才做 响应；如果不是，就拦截。

三. 防范sql注入    1.使用mysql_real_escape_string,采用预编译语句集，它内置了处理SQL注入的能力，使用它 的setXXX方法传值,预防数据库攻击    2.使用正则表达式过滤传入的参数和字符串过滤    3.使用mysql绑定变量的方式

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。