web攻擊

一、dos攻擊

向服務器發送數量龐大的合法數據，讓服務器分不清是不是正常請求，導致服務器接收所有的請求。海量的數據請求會使得服務器停止服務和拒絕服務。

防禦：阿里云或其它資源服務器有專門web應用防火墻

自己的服務器需要相關的設置

二、sql注入攻擊

向web連接的數據發送惡意的sql'語句，使得用戶逃過驗證和私密信息洩露。

防禦：  過濾表單，驗證表單的合法性，對表單數據進行轉義處理；

盡量縮小用戶權限

使用參數查詢接口，不要直接拼接sql語句（T-SQL:SQL 程序设计语言的增强版，它是用来让应用程式与 SQL Server 沟通的主要语言。）

三、跨站請求偽造（CSRF）

通過設置陷阱，使得已經完成驗證的用戶強制修改信息或者設定信息。 就是用戶盜用了你的用戶信息，使用你的信息發送請求。

防禦：敏感驗證使用驗證碼

使用token

驗證http Referer字段

在請求中增加token驗證

在http頭部自定義token并驗證。

四、xss（跨站腳本攻擊）

通過完成註冊的網站用戶的瀏覽器內運行非法的html和javascript腳本，從而達到攻擊的目的。

防禦：對敏感信息使用httponly，使得cookie信息不被盜取

對用戶輸入信息要進行轉義springEscapeutils

五、上傳漏洞

攻擊者將腳本文件冒充image文件上傳，從而進行攻擊

防禦：限制文件類型

採用第三方託管

https://baijiahao.baidu.com/s?id=1570688166426810&wfr=spider&for=pc

https://blog.csdn.net/zyw_anquan/article/details/22178821

https://blog.csdn.net/m18633778874/article/details/78946852

https://blog.csdn.net/lyw_lyw/article/details/79566642

https://www.cnblogs.com/Echoer/p/4781664.html

https://blog.csdn.net/lidiya007/article/details/52875712

https://www.cnblogs.com/Miss-mickey/p/6636813.html?utm_source=tuicool&utm_medium=referral

https://jingyan.baidu.com/article/54b6b9c0a5d1d22d583b4700.html

https://blog.csdn.net/imhxl/article/details/52775512

https://blog.csdn.net/shenqueying/article/details/79426884