分享幾個(gè)常見(jiàn)web安全隱患的解決方法

分享幾個(gè)常見(jiàn)web安全隱患的解決方法

下面是常見(jiàn)的幾種web安全問(wèn)題及解決方案,希望能對(duì)大家有所幫助。

1、跨站腳本攻擊(Cross Site Scripting)

解決方案

xss之所以會(huì)發(fā)生,是因?yàn)橛脩?hù)輸入的數(shù)據(jù)變成了代碼,因此需要對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行html轉(zhuǎn)義處理,將其中的“尖括號(hào)”,“單引號(hào)”,“雙引號(hào)”之類(lèi)的特殊字符進(jìn)行轉(zhuǎn)義編碼。

2、sql注入

報(bào)錯(cuò)時(shí),盡量使用錯(cuò)誤頁(yè)面覆蓋信息

分享幾個(gè)常見(jiàn)web安全隱患的解決方法

3、跨站請(qǐng)求偽造(Cross-Site Request Forgery)

解決方案

(1)將Cookie設(shè)置為httpOnly

server.xml如下配置

<context></context>

web.xml如下配置

分享幾個(gè)常見(jiàn)web安全隱患的解決方法

(2)增加Token

表單中增加一個(gè)隱藏域,提交時(shí)將隱藏域提交,服務(wù)端驗(yàn)證token。

(3)通過(guò)referer識(shí)別

根據(jù)Http協(xié)議,在HTTP頭中有一個(gè)字段交Referer,它記錄了HTTP請(qǐng)求的來(lái)源地址。如果攻擊者要實(shí)施csrf攻擊時(shí),必須從其他站點(diǎn)偽造請(qǐng)求,當(dāng)用戶(hù)通過(guò)其他網(wǎng)站發(fā)送請(qǐng)求時(shí),請(qǐng)求的Referer的值是其他網(wǎng)站的網(wǎng)址。因此可以對(duì)每個(gè)請(qǐng)求驗(yàn)證其Referer值即可。

分享幾個(gè)常見(jiàn)web安全隱患的解決方法

4、文件上傳漏洞

在網(wǎng)上經(jīng)常會(huì)操作,上傳圖片、文件到服務(wù)端保存,這時(shí)候,如果沒(méi)有對(duì)圖片文件做正確的校驗(yàn),會(huì)導(dǎo)致一些惡意攻擊者上傳病毒,木馬,外掛等等到服務(wù)器,竊取服務(wù)器信息,甚至導(dǎo)致服務(wù)器癱瘓。

因此需要對(duì)上傳的文件進(jìn)行校驗(yàn),很多文件起始的幾個(gè)字節(jié)是固定的,因此,根據(jù)這幾個(gè)字節(jié)的內(nèi)容,就可以判斷文件的類(lèi)型,這幾個(gè)字節(jié)也被稱(chēng)作魔數(shù)。?

設(shè)置類(lèi)型白名單

相關(guān)推薦:web服務(wù)器安全

以上就是分享幾個(gè)常見(jiàn)web安全隱患的

? 版權(quán)聲明
THE END
喜歡就支持一下吧
點(diǎn)贊5 分享