web安全防范
xss漏洞
- 原理:信任了用户输入或控制的字段(url),回显(jQuery.html)到页面。导致script代码执行
- 后果:可以在页面执行任何hack代码,比如死循环、发送cookie、钓鱼、页面显示修改
- 防范:
- 只需要文字回显到页面,无html标签:用jquery.text代替jquery.html
- 只需要文字回显到页面,无html标签:jquery.html到页面之前做htmlDecode
- 若确实需要回显html如富文本编辑器(漂亮的东西总是脆弱的),优先调开源的富文本自己的显示接口(已做xss过滤),否则需要自己做xss过滤
csrf
- 原理:钓鱼网站模拟用户请求
- 后果:窃取用户授权,如支付、删除、提交修改
- 防范:验证请求来源refer,生成每个用户特殊的token值来检验。 可以通过前端js算法+cookie,也可以通过后台生成传递给前端。更极端用验证码。。(洗洗睡了)
