web安全问题总结

主要问题

1. SQL注入：即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，从而获取不该获取的数据
2. 跨站脚本攻击(也称为XSS)：指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。链接里可以获取网站的cookie并提交给攻击者网站,攻击者利用cookie就能够盗取用户信息。例如: 用户发表了评论alert(1),并不加处理的存储到服务器数据库，这样，当其他用户访问对应页面时，会自动在页面弹出弹窗1;
3. 跨站请求伪造（CSRF/XSRF): 用户在登录工商银行网页的同时，同时打开了另一个不安全页面,里面有一行html代码<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">【假的】去执行工商银行转账操作,用户在打开不安全页面的同时会自动执行转账操作，而用户本身并不知情。CSRF能成功是因为同一个浏览器会共享Cookies。

措施

1. 使用https协议而不是http协议;
2. 不要在客户端代码、cookie,localStorage,sessionStorage中存放敏感数据,cookie设置成httponly,不允许通过JavaScript访问cookie
3. 在中间件或者前置nginx设置HTTP安全头部,比如Strict-Transport-Security,X-Frame-Options,X-XSS-Protection,X-Content-Type-Options,Content-Security-Policy等;
4. SQL注入: 尽可能使用sequelize方法去查询数据库，少使用sequelize.query,如果必须写,对于sql语句参数化查询或预处理,对用户的输入内容进行转义;
5. 不用eval;
6. 使用非root用户启动应用程序;
7. 限制同一个用户在规定时间内访问网站接口的次数，比如一秒一次;
8. 限制密码输入错误次数;
9. 对于一些重要敏感操作时服务端要检查Referer字段，同时在敏感操作多进行几次数据交互完成，而不是一次请求完成，也可以有效避免CSRF