以下是幾個常見的web安全問題及解決方案,希望能對大家有幫助。
1、跨站腳本攻擊(Cross Site Scripting)
解決方案
xss之所以會發生,是因為使用者輸入的資料變成了程式碼,因此需要對使用者輸入的資料進行html轉義處理,將其中的“尖括號”,“單引號”,“雙引號”之類的特殊字元進行轉義編碼。
2、SQL注入
報錯時,盡量使用錯誤頁面覆寫堆疊資訊
3、跨站請求偽造(Cross- Site Request Forgery)
解決方案
(1)將cookie設定為HttpOnly
server.xml如下設定
<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>
web.xml如下設定
(2)增加token
表單中增加一個隱藏網域,提交時將隱藏網域提交,服務端驗證token。
(3)透過referer識別
根據Http協議,在HTTP頭中有一個欄位交Referer,它記錄了HTTP請求的來源位址。如果攻擊者要實施csrf攻擊時,必須從其他網站偽造請求,當使用者透過其他網站發送請求時,請求的Referer的值是其他網站的網址。因此可以對每個請求驗證其Referer值即可。
4、檔案上傳漏洞
在網路上常常會操作,上傳圖片、檔案到服務端儲存,這時候,如果沒有對圖片檔案做正確的校驗,會導致一些惡意攻擊者上傳病毒,木馬,外掛等等到伺服器,竊取伺服器訊息,甚至導致伺服器癱瘓。
因此需要對上傳的檔案進行校驗,很多檔案起始的幾個位元組是固定的,因此,根據這幾個位元組的內容,就可以判斷檔案的類型,這幾個位元組也被稱作魔數。
設定類型白名單
相關推薦:web伺服器安全性
以上是分享幾個常見web安全隱憂的解決方法的詳細內容。更多資訊請關注PHP中文網其他相關文章!