隨着互聯網佔領生活的方方面面,安全問題日益不容忽視,作爲一個開發者,一些常見的安全問題一定要注意: 1,SQL注入 2,XSS 3,CSRF
1,SQL注入:
這個比較常見,可能大家也聽說過,就是URL裏面如果有對數據庫進行操作的參數時,要做一下特殊的處理,
否則被別有用心的人利用的話就可能釀成大錯,輕則用戶信息泄露,重則數據庫被刪
example:
如果有如下URL,查詢分頁,且代碼裏面沒有特殊處理 http://www.baidu.com/abc.asp?page=1 則在URL後面加入如下語句可以判斷有無注入點 ; and 1=1 and 1=2 更多其它操作請自行百度,解決方式有很多種,關鍵是要知道這種注入
2,XSS 全稱跨站腳本攻擊
這個大家都做過處理,但是並不一定知道名字,(Cross Site Scripting, 安全專家們通常將其縮寫成XSS,原本應當是css,但爲了和層疊樣式表(Cascading Style Sheet,CSS )有所區分,故稱XSS),
這種問題通常是由於對用戶的輸入沒有嚴格的加以過濾導致的
example:
論壇A有一個評論的功能,但是並沒有過濾HTML標籤,導致用戶可以隨意的通過評論在這個帖子中添加圖片和腳本, 輕則影響頁面樣式,重則危害網站的安全,如果別有用心的人插入非法腳本,則頁面有可能出現廣告, 甚至丟失用戶信息,進一步還能危害到整個站的安全
3,CSRF (Cross-site request forgery)跨站請求僞造
這種問題一般是由於網站把重要的用戶信息不加以處理就放在本地,如果用戶在訪問某重要網站時,比如網銀,假如用戶的唯一標識信息被存在本地,
如果此時訪問了非法網站,在某些特殊情況下,就有可能丟失用戶重要信息,進而威脅用戶安全,
example:
這個出現情況比較複雜,可能單一的問題並不會導致危害用戶安全, 這裏就不加以贅述,具體自己去某度瞭解(不是偷懶,這裏畢竟不是安全講座,說太多就跑題了 @_@!!!)
以上是3種比較常見的web安全問題,有些地方可能不夠詳細或者精確,但是如果能夠讓你注意到這些問題,我的目的就算是達到了,
因爲這只是站在一個前端的角度看待問題,讓大家都注意到這些問題,進而不犯錯誤,就是目的。