web安全记录

前端

CSRF 跨站请求伪造
　　客户端添加伪随机数，后台验证
　　验证码
中间人攻击
　　SSL证书加密
xss(跨站脚本攻击)漏洞，微软的字符检验（自动）
　　文本展示编码处理
　　做标签展示的文本尤其过滤脚本
Cookie HttpOnly
　　HttpOnly情况下js不能操作cookie,在一定情况下能够保证安全性
域设置
　　cookie域匹配（domian match)原则：Domain 形如.abc.com的cookie,会被发送给所有abc.com在80端口上的子域请求。反之不行。
　　最小化授权
Secure 启用此属性，浏览器仅仅会在Https请求中发送Cookie
Cookie 基础
　　名称不能包含特殊字符，转码后可以
　　值可以转码或加密
　　Expires 过期时间，GMT格式，不设时间关闭浏览器时自动删除，
　　Path 允许的路劲，"/" 表示全站
　　Domain 子域，
　　Secure 如果启用则只能https能访问
　　HttpOnly 脚本（js,applet)无法读取到Cookie信息

后台

Sql注入
　　预编译语句，就是客户端输入的数据作为参数传入sql中，不直接拼接
　　关闭错误显示，避免暴漏程序结构
　　数据库连接账户权限限制，（单独数据库的数据增删改查）
文件上传
　　后缀名判断（限制在图片格式）
　　判断文件前两个字符，如png的前两个二进制字符为8950，jpg为ffd8
　　用图片类初始化 获取width,height <=0的 屏蔽
　　文件重命名 （默认不显示目录，改名后，攻击者很访问）
认证与会话管理
　　密码 长度，组合，加密处理，3次后验证码，最多5次 封ip，支付密码，短信验证码
　　session过期时间
访问权限控制
　　后台权限系统，角色-功能点

跨域数据

jsonp,js功能，都支持
cors 跨域资源共享， ie8以上，其他大都支持，服务端在web上设置标识，支持哪些域名数据