WEB安全问题

WEB安全问题我没太多经验，但是这块内容还是很重要，所以必须要了解学习一下。

简单总结了一下，分成以下5类，

1.DDOS，瘫痪式攻击，解决方法是记录异常请求的ip地址，主动拒绝或者将攻击ip添加到防火墙黑名单里。

2.系统漏洞攻击，比如前一段时间的Struts漏洞，或者Windows系统漏洞，这个是系统层面的，只有靠及时打补丁。

3.SQL注入，这个很常见，一般通过避免SQL拼接，对输入进行严格校验，检查程序注入点等方式来解决。

4.XSS，恶意代码注入，比如BBS，其他用户在查看被注入的文章时会受到影响，比如收集用户cookie信息等。

5.CSRF，跨站请求伪造，危险程度更高，比如我登录了WebQQ，又登录一个恶意网站，该恶意网站可以伪造WEBQQ协议，请求添加好友，甚至删除好友

XSS的方式很多，script标签是最常规的，很容易过滤，img的onload事件，在a href里面写javascript:alert()，还有更防不胜防的unicode转码

$('div:first').html('\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003e\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029\u003c\u002f\u0073\u0063\u0072\u0069\u0070\u0074\u003e');

XSS的除了上面的几种见招拆招外，我再想想有没有别的思路。unicode转码部分我试了一下，确实生成了script标签但是没有弹出alert，不知道是不是浏览器对此作了处理。

 

再说CSRF，这个危害程度太大了，我首先想到的通过http referer来判断请求来源，除此之外就是想办法拒绝构造的请求，比如用户激活输入框申请一个提交令牌，判断用户输入间隔和输入内容长度是否合理。