分享几个常见web安全隐患的解决方法

王林
Freigeben: 2021-03-01 10:44:49
nach vorne
4117 Leute haben es durchsucht

分享几个常见web安全隐患的解决方法

下面是常见的几种web安全问题及解决方案,希望能对大家有所帮助。

1、跨站脚本攻击(Cross Site Scripting)

解决方案

xss之所以会发生,是因为用户输入的数据变成了代码,因此需要对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“双引号”之类的特殊字符进行转义编码。

2、SQL注入

报错时,尽量使用错误页面覆盖堆栈信息

2b1edb787eeb5f252125d492351972b.png

3、跨站请求伪造(Cross-Site Request Forgery)

解决方案

(1)将cookie设置为HttpOnly

server.xml如下配置

Nach dem Login kopieren

web.xml如下配置

4756c16c71fdd11b2148be5945e7779.png

(2)增加token

表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token。

(3)通过referer识别

根据Http协议,在HTTP头中有一个字段交Referer,它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。

628cb4c466a415753eaa04b819df026.png

4、文件上传漏洞

在网上经常会操作,上传图片、文件到服务端保存,这时候,如果没有对图片文件做正确的校验,会导致一些恶意攻击者上传病毒,木马,外挂等等到服务器,窃取服务器信息,甚至导致服务器瘫痪。

因此需要对上传的文件进行校验,很多文件起始的几个字节是固定的,因此,根据这几个字节的内容,就可以判断文件的类型,这几个字节也被称作魔数。

设置类型白名单

相关推荐:web服务器安全

Das obige ist der detaillierte Inhalt von分享几个常见web安全隐患的解决方法. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Verwandte Etiketten:
Quelle:cnblogs.com
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage
Über uns Haftungsausschluss Sitemap
Chinesische PHP-Website:Online-PHP-Schulung für das Gemeinwohl,Helfen Sie PHP-Lernenden, sich schnell weiterzuentwickeln!