1. XSS攻击
XSS攻击又称CSS,全称Cross Site Script (跨站脚本攻击)
利用网页漏洞注入代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java。
攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
例如,在微博内容插入script src=”xxx” /script 用户在获取内容的时候就会下载脚本
2. SQL注入
攻击者通过sql表达式欺骗数据库服务器,获得权限,进一步得到相应的数据信息。
例如,在登录框内输入 select * from user where username = ‘ ‘ or 1=1
3. 解决:
前端可以在利用正则表达式过滤非法字script标签,用户名禁止空格等;后端也要进行类似的操作,当然现在各种框架防护都做得很好。难道还有人手写sql在项目上?
