面试之《web安全问题》

1. csrf攻击 (Cross-site request forgery) 跨站请求伪造。利用用户的cookie,伪造用户操作接口。

案例

  • 用户登陆了a网站,cookie已经生成。
  • 用户打开了钓鱼网站b,黑客在b网站中调用了a网站的接口,就可以用用户在a网站中的cookie去获取a网站的信息,甚至去调用支付接口。

怎么预防

  • cookie设置sameSite,只允许当前域名下访问
  • 后端验证请求头中的Referer值,如果非规定域名,则不允许操作接口。

2. xss 利用系统漏洞注入有害代码,获取系统信息,或者利用脚本窃取用户信息。

案例

  • 用户通过输入框输入脚本代码,提交至服务器,例如脚本使用img标签去调用他预先写好的get方法,拿到用户的cookie。他再用cookie去做一些坏事
  • 搜索关键字或注册时,都会直接调用sql语句,如果输入了一段恶意的sql,且没有做安全校验的话,黑客就会通过注入的sql语句做一些坏事

如何防范

  • 不相信用户输入的所有内容,对用户可输入的所有内容都要做二次校验,转义等操作。
  • 服务端在拿到值去做sql查询时,也要做好 转义的操作

3. DDos攻击,高频次访问ip,导致服务器负载超标,引起宕机

  • 可以利用阿里云或其他云服务器商的防火墙
  • 后端也可以做好防护策略,同一ip多次访问时,进行拦截,例如1分钟内访问60次,将其锁住x秒,期间再次访问,就会直接返回错误信息。
  • 之前写爬虫的时候就遇到过这个问题,访问的过于频繁,就会被警告。。
相关推荐
web守墓人1 小时前
【前端】ikun-markdown: 纯js实现markdown到富文本html的转换库
前端·javascript·html
网安小白的进阶之路5 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-2
网络·安全·web安全·系统安全·交换机
安全系统学习5 小时前
网络安全之RCE分析与利用详情
服务器·网络·安全·web安全·系统安全
武汉唯众智创5 小时前
网络安全实训室建设方案全攻略
网络·安全·web安全·网络安全·网络安全实训室·网络安全实验室
weixin_472339465 小时前
网络安全攻防:文件上传漏洞的深度解析与防御实践
安全·web安全
雪兽软件5 小时前
2025 年网络安全与人工智能发展趋势
人工智能·安全·web安全
秋田君6 小时前
深入理解JavaScript设计模式之命令模式
javascript·设计模式·命令模式
风吹落叶花飘荡7 小时前
2025 Next.js项目提前编译并在服务器
服务器·开发语言·javascript
yanlele8 小时前
我用爬虫抓取了 25 年 6 月掘金热门面试文章
前端·javascript·面试
烛阴9 小时前
WebSocket实时通信入门到实践
前端·javascript