亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SQL注入、XSS和CSRF指的是什么意思

發布時間:2020-12-02 11:18:06 來源:億速云 閱讀:199 作者:小新 欄目:MySQL數據庫

這篇文章主要介紹SQL注入、XSS和CSRF指的是什么意思,文中介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們一定要看完!

SQL注入

SQL注入是屬于注入式攻擊,這種攻擊是因為在項目中沒有將代碼與數據(比如用戶敏感數據)隔離,在讀取數據的時候,錯誤的將數據作為代碼的一部分執行而導致的。

典型的例子就是當對SQL語句進行字符串拼接的時候,直接使用未轉義的用戶輸入內容作為變量。這時,只要在sql語句的中間做修改,比如加上drop、delete等關鍵字,執行之后后果不堪設想。

說到這里,那么該怎么處理這種情況呢?三個方面:

1、過濾用戶輸入參數中的特殊字符,降低風險。

2、禁止通過字符串拼接sql語句,要嚴格使用參數綁定來傳入參數。

3、合理使用數據庫框架提供的機制。就比如Mybatis提供的傳入參數的方式 #{},禁止使用${},后者相當于是字符串拼接sql,要使用參數化的語句。

總結下,就是要正確使用參數化綁定sql變量。

XSS

XSS:跨站腳本攻擊,Cross-Site Scripting,為了和前端的css避免重名,簡稱為XSS,是指通過技術手段,向正常用戶請求的HTML頁面中插入惡意腳本,執行。

這種攻擊主要是用于信息竊取和破壞等目的。比如2011年的微博XSS攻擊事件,攻擊者利用了微博發布功能中未對action-data漏洞做有效的過濾,在發布微博信息的時候帶上了包含攻擊腳本的URL,用戶訪問就會加載惡意腳本,導致大量用戶被攻擊。

關于防范XSS上,主要就是通過對用戶輸入的數據做過濾或者是轉義,可以使用框架提供的工具類HtmlUtil。另外前端在瀏覽器展示數據的時候,要使用安全的API展示數據。比如使用innerText而不是innerHTML。

CSRF

跨站請求偽造,在用戶并不知情的情況下,冒充用戶發送請求,在當前已經登錄的web網站上執行惡意操作,比如惡意發帖,修改密碼等。

大致來看,與XSS有重合的地方,前者是黑客盜用用戶瀏覽器中的登錄信息,冒充用戶去執行操作。后者是在正常用戶請求的HTML中放入惡意代碼,XSS問題出在用戶數據沒有轉義,過濾;CSRF問題出現在HTTP接口沒有防范不守信用的調用。

防范CSRF的漏洞方式:

1、CSRF Token驗證,利用瀏覽器的同源限制,在HTTP接口執行前驗證Cookie中的Token,驗證通過才會繼續執行請求。

2、人機交互,例如短信驗證碼、界面的滑塊。

以上是“SQL注入、XSS和CSRF指的是什么意思”這篇文章的所有內容,感謝各位的閱讀!希望分享的內容對大家有幫助,更多相關知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

金湖县| 安阳县| 开鲁县| 亳州市| 南郑县| 轮台县| 同江市| 湖州市| 无锡市| 缙云县| 杭锦后旗| 南岸区| 金坛市| 马边| 三明市| 德江县| 鄂托克前旗| 波密县| 玉环县| 红安县| 永平县| 肃北| 绥化市| 宜丰县| 都匀市| 德格县| 渭源县| 甘肃省| 石柱| 吐鲁番市| 剑阁县| 灵丘县| 西盟| 蓬莱市| 玉田县| 临潭县| 美姑县| 康平县| 冕宁县| 贡山| 济阳县|