這篇文章主要介紹SQL注入、XSS和CSRF指的是什么意思，文中介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們一定要看完！

創(chuàng)新互聯(lián)建站專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于做網(wǎng)站、網(wǎng)站制作、泰興網(wǎng)絡(luò)推廣、小程序定制開發(fā)、泰興網(wǎng)絡(luò)營銷、泰興企業(yè)策劃、泰興品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；創(chuàng)新互聯(lián)建站為所有大學生創(chuàng)業(yè)者提供泰興建站搭建服務(wù)，24小時服務(wù)熱線：13518219792，官方網(wǎng)址：jinyejixie.com

SQL注入

SQL注入是屬于注入式攻擊，這種攻擊是因為在項目中沒有將代碼與數(shù)據(jù)（比如用戶敏感數(shù)據(jù)）隔離，在讀取數(shù)據(jù)的時候，錯誤的將數(shù)據(jù)作為代碼的一部分執(zhí)行而導致的。

典型的例子就是當對SQL語句進行字符串拼接的時候，直接使用未轉(zhuǎn)義的用戶輸入內(nèi)容作為變量。這時，只要在sql語句的中間做修改，比如加上drop、delete等關(guān)鍵字，執(zhí)行之后后果不堪設(shè)想。

說到這里，那么該怎么處理這種情況呢？三個方面：

1、過濾用戶輸入?yún)?shù)中的特殊字符，降低風險。

2、禁止通過字符串拼接sql語句，要嚴格使用參數(shù)綁定來傳入?yún)?shù)。

3、合理使用數(shù)據(jù)庫框架提供的機制。就比如Mybatis提供的傳入?yún)?shù)的方式 #{}，禁止使用${}，后者相當于是字符串拼接sql，要使用參數(shù)化的語句。

總結(jié)下，就是要正確使用參數(shù)化綁定sql變量。

XSS

XSS：跨站腳本攻擊，Cross-Site Scripting，為了和前端的css避免重名，簡稱為XSS，是指通過技術(shù)手段，向正常用戶請求的HTML頁面中插入惡意腳本，執(zhí)行。

這種攻擊主要是用于信息竊取和破壞等目的。比如2011年的微博XSS攻擊事件，攻擊者利用了微博發(fā)布功能中未對action-data漏洞做有效的過濾，在發(fā)布微博信息的時候帶上了包含攻擊腳本的URL，用戶訪問就會加載惡意腳本，導致大量用戶被攻擊。

關(guān)于防范XSS上，主要就是通過對用戶輸入的數(shù)據(jù)做過濾或者是轉(zhuǎn)義，可以使用框架提供的工具類HtmlUtil。另外前端在瀏覽器展示數(shù)據(jù)的時候，要使用安全的API展示數(shù)據(jù)。比如使用innerText而不是innerHTML。

CSRF

跨站請求偽造，在用戶并不知情的情況下，冒充用戶發(fā)送請求，在當前已經(jīng)登錄的web網(wǎng)站上執(zhí)行惡意操作，比如惡意發(fā)帖，修改密碼等。

大致來看，與XSS有重合的地方，前者是黑客盜用用戶瀏覽器中的登錄信息，冒充用戶去執(zhí)行操作。后者是在正常用戶請求的HTML中放入惡意代碼，XSS問題出在用戶數(shù)據(jù)沒有轉(zhuǎn)義，過濾；CSRF問題出現(xiàn)在HTTP接口沒有防范不守信用的調(diào)用。

防范CSRF的漏洞方式：

1、CSRF Token驗證，利用瀏覽器的同源限制，在HTTP接口執(zhí)行前驗證Cookie中的Token，驗證通過才會繼續(xù)執(zhí)行請求。

2、人機交互，例如短信驗證碼、界面的滑塊。

以上是“SQL注入、XSS和CSRF指的是什么意思”這篇文章的所有內(nèi)容，感謝各位的閱讀！希望分享的內(nèi)容對大家有幫助，更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

網(wǎng)站欄目：SQL注入、XSS和CSRF指的是什么意思
轉(zhuǎn)載源于：http://jinyejixie.com/article26/posejg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供商城網(wǎng)站、手機網(wǎng)站建設(shè)、服務(wù)器托管、Google、標簽優(yōu)化、全網(wǎng)營銷推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)