1 XSS: Cross Site Scripting
2 SQL Injection 脚本注入
允许用户在可编辑容器中编写内容,或者从第三方获取内容,然后生成URL parameters,
解决方案:需要对可输入的内容做安全性检测, 控制内容的安全性。
content-security-policy:控制可以加载的资源文件的路径 CSP
X-XSS-Protection: disable 0 enable 1 block;当发现反射的xss攻击,禁止加载页面
2 XSRF: Cross Site Request Forgery
伪基站请求,假冒用户信息,网站发送用户的敏感信息或获取用户的个人信息。
在发送请求的时候,验证请求的来源,一般发生跳转到第三方网站, 利用表单可以提交到第三方网站:
解决方案:对于form提交,新增一个隐藏的token验证,或者针对每个request,判断origin是否可靠和一致;
3 点击劫持:
一些第三方网站,推送某些游戏广告,在点击玩耍广告游戏的同时,劫持你的点击事件,然后定位iframe到该鼠标点击的地方 ,就像是用户自主点击到iframe上;
解决方案:设置reponse header: X-Frame-Option deny sameorigin allow-from uri