Web安全
一、XSS
本质上,就是针对html代码,进行了注入
1、反射型
把用户的输入,直接放到了html页面上面。比如把input的输入,绑定到span中。
2、存储型
把用户的输入,存储到数据库中; 后再传到前端页面展示。
防御方法:
1、输入长度限制 构造xss攻击,需要拼接额外字符,一般比较长
2、输入限制 有时候可以禁止一些特殊字符, < > 等
3、输出转义 默认输出转义Escape
二、CSRF
黑客在本域名之外的站点,巧妙借用了本域名的cookie,从而伪造了请求
1、敏感请求由GET转成POST
2、Token
https://zhuanlan.zhihu.com/p/46592479?utm_source=wechat_session&utm_medium=social&from=singlemessage
三、DDos