xss -- 跨站脚本攻击
防御XSS攻击:
(1)输入过滤替换
(2)输出过滤替换
(3)设置httpOnly 锁死 cookie
csrf -- 跨站请求伪造
防御CSRF攻击:
(1)验证 HTTP Referer 字段
(2)在请求地址中添加 token 并验证
(3)在 HTTP 头中自定义属性并验证
文件上传漏洞
(1)检查服务器是否判断了上传文件类型及后缀
(2)定义上传文件类型白名单,即只允许白名单里面类型的文件上传
(3)文件上传目录禁止执行脚本解析,避免攻击者进行二次攻击
相关文章: