常见Web漏洞及其防范
1.XSS(Cross Site Scripting)跨站脚本攻击
防范:客户端与服务端同时做htmlEncode和jsEncode。服务端保障安全,客户端提升体验。服务端可使用XSS Filter实现,nodejs可使用XSS相关中间件。
2.CSRF(Cross-site request forgery)跨站请求伪造
防范:通过HTTP的Referer字段验证请求是否来自信任网站
3.SQL注入
防范:SQL预编译
4.弱口令
防范:使用规则限制用户使用弱口令
5.非加密传输
防范:使用HTTPS(HTTPS原理:非对称加密交换密钥+对称加密数据+CA认证)
6.CFS(Cross Frame Script跨框架脚本攻击)与Clickjacking(点击劫持)
防范:服务端header设置X-Frame-Options为SAMEORIGIN
附:Web漏洞扫描工具
1.Awvs
2.WebInspect
3.AppScan