Web 安全
bridge 2022/9/13
# cookie劫持
# xss攻击(跨站脚本攻击):注入恶意代码,获取用户信息
防止: 输入过滤encodem,将<等有意义的符号进行替换
避免使用v-html、innerHtml等
# csrf 跨站伪造请求:引诱用户进入第三方网站,利用用户已经获得的登录凭证,冒充用户进行某些操作
防止:同源检测,http头部的origin Header和referer Header字段记录了请求的来源域,以此判断请求是否来自合法站点
csrf token,发起请求时,服务器返回一个token并植入到网页,一般是一个隐藏的输入框,再次发起请求时需要带上这个token
# SQL注入:
将恶意的sql语句插入查询语句中,从而获取到某些信息
防止:输入过滤、避免动态拼接查询字符串,而是使用参数化查询、做好权限管理