一、本堂课重点内容：

讲了XSS、CSRF、注入、Dos、DDos攻击方式以及针对这些工具方式我们所能做出的反制手段。

二、详细知识点介绍：

这算是最简单的攻击方式吧，XSS(跨域脚本注入)，就是攻击者把脚本代码注入到我们的网站的行为。照成这种情况的原因就是我们把用户上传到内容解析为DOM节点。

手段： 做好过滤，不要相信用户提交的内容，更不要把内容渲染成DOM。

这种手段激素跨站伪造请求，就是利用用户数据伪造了请求，从而修改用户的数据。

手段： 设定域名白名单，对接口进行校验。还可以利用SameSite Cookie属性，来防止其他页面带上该页面的cookie。

这是一种利用数据库的恶意注入，通过前端被脚本把用户输入的东西拼接成select语句，欺骗数据库，照成数据删除等操作。

手段： 对用户上传的数据进行筛选，我们要保证最权限原则，建立里白名单，对于URL类型参数做限制。

这种攻击时通过构造特定的请求让我们的服务器激增，消耗我们服务器的带宽，导致对新请求无法响应。

手段： 禁用用户的一些操作，比如我们可以禁用掉用户的正则表达式。

这种攻击是利用僵尸设备发送正确的请求，但是不回应，组织三次握手，导致服务器无法回应新的请求，达到攻击的目的。

手段： 在网关对于恶意流量进行识别，或者过滤，一旦被攻击我们可以使用快速自己扩容的方式抵御攻击。

网络安全是一个很大的知识体系，对于我们开发者而言如果出现了问题是会影响到我们的饭碗，所以要重视起来，同时要加强自身的能力不断成长。