常见Web漏洞及其防范

1.XSS(Cross Site Scripting)跨站脚本攻击
防范：客户端与服务端同时做htmlEncode和jsEncode。服务端保障安全，客户端提升体验。服务端可使用XSS Filter实现，nodejs可使用XSS相关中间件。
2.CSRF（Cross-site request forgery）跨站请求伪造
防范：通过HTTP的Referer字段验证请求是否来自信任网站
3.SQL注入
防范：SQL预编译
4.弱口令
防范：使用规则限制用户使用弱口令
5.非加密传输
防范：使用HTTPS(HTTPS原理：非对称加密交换密钥+对称加密数据+CA认证)
6.CFS(Cross Frame Script跨框架脚本攻击)与Clickjacking(点击劫持)
防范：服务端header设置X-Frame-Options为SAMEORIGIN

附:Web漏洞扫描工具

1.Awvs
2.WebInspect
3.AppScan