常见攻击:
1、xss攻击:给更改js或者html进行攻击
防范方式:
a、CSP(参考网站):
能限制资源的来源,可以预防js代码注入,其他网站的图片注入等
b、正则匹配
c、转码
2、csrf攻击:跨站攻击(参考网站)
描述:A网站存在浏览器上有cookie,B恶意网站使用form、img等调用A网站的接口,自动带上cookie
防范方式:
a、验证referer
b、httponly:防止js访问cookie
c、sameSite:防止跨域请求
d、token验证(jwt)
3、sql注入攻击
描述:将sql代码注入服务器端,操作数据库
防范方式:
a、转义(过滤)
b、JDBC预处理
在JDBC中,提供了 PreparedStatement (预处理执行语句)的方式,可以将注入的sql语句进行转义,从而确保sql参数无法正常执行
c、Mybatis下注入防范
d、JPA注入防范
