Web安全-XSS-SQL注入-CSRF

一、XSS 跨站脚本攻击(Cross Site Scripting)：

    1、指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.  比如获取用户的Cookie，导航到恶意网站,携带木马等。

    2、比如在可以输入的地方，输入脚本代码，如果存在漏洞，则其他用户在浏览或者点击时，就会执行该代码。

    3、django自动开启自动转义，将输入的HTML，javascript原原本本的输出。如果想输出，则需对变量  | safe 处理。

    4、测试脚本大全：http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html

    5、攻击：

    6、防范：

 

二、SQL注入：

    1、通过把SQL命令插入到Web表单提交，或在进行“带有参数的动态页面请求”的页面插入命令，最终达到欺骗服务器执行恶意的SQL命令。

    2、攻击：

    3、防范：

三、CSRF 跨站请求伪造（Cross-site request forgery）：

    1、利用浏览器储存访问凭证（cookie等）的特点，诱使用户执行某些代码，从而改变服务器的数据。http://www.cnblogs.com/arlenhou/p/WebGoatCSRF.html

    2、

    3、防范：http://www.programgo.com/article/72421862882/

         token会返回给用户html的form中，而攻击者通过用户发出的请求，只是带有cookie，并不能完成“请求---得到token”-----“提交-----同时提交token来验证”的这个过程