这是我参与「第四届青训营 」笔记创作活动的第10天

学习了wed安全的知识

web 安全

两个角度

攻击者：

1.跨站脚本攻击--xss，注入恶意script标签，生成恶意脚本，会暗地执行脚本，窃取用户信息，盗取用户数据 利用接口交互时不会对用户提交内容过滤，提交恶意代码，导致HTML插入恶意标签

分三大类

1.存储型xss，攻击数据库，影响数据库所有成员

2.反射型xss攻击，从url攻击，不涉及数据库，同样也是为了插入恶意标签

3.基于DOM的xss攻击，不需要服务器参与，完全在浏览器端完

2.跨站伪造请求，伪造成用户请求，然后提交给其他网站。骗取其他网站执行相应操作

3.注入攻击，常见为SQL恶意注入，注入SQL语句，然后攻击数据区数据，还可用命令行、服务器指令等恶意攻击，恶意修改读取服务器文件等

4.服务拒绝DOS，利用基于贪婪正则表达式，是其回溯，增加响应时间，降低服务器性能 DDos 大量访问ip，消耗带宽

5.中间人攻击 ，在服务器和浏览器中间插入一个中间人，修改浏览器的请求和服务器的反馈，篡改传输的信息，

防御者： 1.防御xss攻击

1.不要相信用户提交的内容

2.不要将用户的请求插入DOM中

3.利用工具

4.必须生成动态DOM

5.不要让用户自定义跳转，如a标签，如必须，一定要先

同源：协议，域名，端口都相同

csp，只响应确认安全的源，

2.CSRF伪造跨站请求攻击的防御

判断是否为本身域名请求，否则拒绝

1.用户绑定

2.过期时间

防御iframe攻击

检测同源请求

CSRF利用用户权限恶意请求

CooKie只能自己用，不允许其他使用

3.注入攻击的防御

最小原则，所有命令都不给root权限

建立白名单

对url类型参数进行协议，域名，性能等限制

4.Dos攻击防御

拒绝用户提供的正则

DDOS： 流量治理，快速自动扩容，非核心服务降级