web前端开发常见的漏洞 3大Web安全漏洞防御详解：XSS、CSRF、以及SQL注入解决方案

今天我爱编程网小编整理了web前端开发常见的漏洞 3大Web安全漏洞防御详解：XSS、CSRF、以及SQL注入解决方案相关内容，希望能帮助到大家，一起来看下吧。

前端程序员必须知道的 Web 漏洞，快来看看

随着互联网的发展，早已经不是仅限于简单的网页或是社交，电商购物、银行转账、企业管理等等。上次看到一个新闻，后台程序员离职后，利用职位之便，每天还不断的给自己转账，转了好多次才被发现，想想这多可怕。或者会窃取重要的商业信息，所以 Web 安全也是非常值得注意的。

什么是 Web 安全？

黑客利用网络操作系统的漏洞和 Web 服务器的 SQL 注入漏洞等，得到 Web 服务器的控制权，轻则篡改、删除、添加数据，重则窃取重要的商业信息、转账等，更严重的就是在网页中植入恶意代码，使网站受到不可预期的侵害。

常见的攻击可分为三类：XSS、CSRF、SQL注入。

Cross Site Scripting 跨站脚本攻击，为了与 CSS 区分，所以简写为 XSS 。

恶意攻击给 Web 页面植入恶意的 Script 代码，当用户浏览该网页的时候，嵌入 Web 里面的 script 代码会被执行，从而达到攻击的效果。

讲直白点，就是恶意攻击者通过在输入框处添加恶意 script 代码，用户浏览网页的时候执行 script 代码，从而达到恶意攻击用户的目的。

1.1、XSS 的危害

1.2、XSS 的攻击类型

发出请求时，XSS代码会出现在 url 中，作为输入提交到服务器端，服务器再返回给浏览器，然后浏览器解析执行 XSS 代码，这一过程像一次反射，所以称之为反射型。

这种类型的攻击，通常是把 XSS 攻击代码放入请求地址的 数据传输部分，如： 我爱编程网

提交的 XSS 代码会存储在服务器端，如数据库、内存、文件系统内，下次请求目标页面时不再提交 XSS 代码。

文档型的 XSS 攻击不会经过服务器，作为中间人的角色，在数据传输过程中劫持到网络数据包，然后修改里面的 html 文档。

1.3、XSS 的防御措施

措施1：编码。

对这些数据进行 html entity 编码。客户端和服务器端都需要进行转义编码。

转义后为：

放入上边的代码中，还是会自动解析为上边的代码，所以放到外边。

措施2：过滤。

移除用户上传的 DOM 属性，如上边的 onerror。

移除用户上传的 style、script、iframe 节点。

措施3：利用 CSP

浏览器中的内容安全策略，就是决策浏览器加载哪些资源。

Cross site request forgery 跨站点请求伪造。

攻击者诱导受害者进入第三方网站，向被攻击网站发送跨站请求，利用被攻击者在被攻击网站已经获取的注册凭证，绕过后台的用户验证达到冒充用户对攻击网站进行的某种操作。

CSRF 攻击特点：

2.1、CSRF 的危害

2.2、CSRF 的攻击类型

使用非常简单，只需要一个 http 请求。

比如页面中的一个图片添加链接，还有 iframe、script ，最容易完成 CSFR 攻击，且不易被用户发现，隐蔽性超强。

由于 get 接口是最常见的一种 CSRF 攻击类型，所以很多重要的接口不适用 get 方式，使用 post 一定程度上可以防止 CSRF 攻击。

这种类型的 SCRF 攻击，通常使用的是一个自动提交的表单。简单讲就是伪造一个自动提交的表单，一旦访问页面时，表单就会自动提交。

如：

比起前两个，这个类型的比较少见，链接类型的攻击必须要用户点击链接，才能触发。

通常在论坛中发布的图片嵌入恶意的链接，或以广告的形式诱导用户点击中招。所以我们在邮箱中看到乱七八糟的广告，尽量别点击，防止遇到三方攻击。

伪造一种新型的攻击方式，用户误以为是在网站正常登录，实际上是使用账户和密码登录到了黑客网站，这样黑客可以监听到用户的所有操作，甚至知道用户的账户信息。

2.3、CSRF 的防御措施

措施1：检查 http 头部的 referer 信息

referer 包含在请求头内，表示请求接口的页面来源。

服务端通过检查 referer 信息，发现来源于外域时，就可以拦截请求，通过阻止不明外域的访问，一定程度上可以减少攻击。

措施2：使用一次性令牌

使用一次性令牌做身份识别，黑客是无法通过跨域拿到一次性令牌的，所以服务端可以通过判断是否携带一次性令牌，就可以排除一部分的非法操作者。

措施3：使用验证图片

服务端生成一些文本和数字，在服务端保存这份信息，同时以图片的形式在客户端展现，让用户去合法填写信息，当 CSRF 攻击时，拿不到这个验证码的时候，无法向服务器提供这个信息，导致匹配失败，从而识别它是非法攻击者。

这个应用非常常见，之前登录的时候，需要填写图形验证码。

现在滑动图片验证也非常常见。

SQL 注入，一般发生在注册、评论、添加等，只有有用户输入的地方，就有可能发生 SQL 注入。SQL 注入是一种常见的 Web 安全漏洞，攻击者会利用这个漏洞，可以访问或修改数据，利用潜在的数据库漏洞进行攻击。

所谓SQL注入，就是通过把SQL命令插入到Web 表单 提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意的)SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到 SQL注入式攻击 .

3.1、SQL 注入危害

任意的账号都可以登录，可以进行任意的操作，粗暴点讲，就是随便来。

3.2、 SQL注入分类

当输入的参数为整数时，则有可能存在数字型漏洞。

当输入参数为字符串时，则可能存在字符型注入漏洞。数字型与字符型注入最大的区别在于：数字型不需要单引号闭合，而字符型一般需要使用单引号来闭合。

字符型注入最关键的是如何闭合 SQL 语句以及注释多余的代码。

其实我觉得 SQL 注入只有两种类型：数字型与字符型。很多人可能会说还有如：Cookie 注入、POST 注入、延时注入等。

的确如此，但这些类型的注入归根结底也是数字型和字符型注入的不同展现形式或者注入的位置不同罢了。

以下是一些常见的注入叫法：

3.3、SQL注入的防范措施

凡是用户输入的地方，我们都应该防止黑客攻击，永远不要相信用户的输入。所以对应的防御措施分别有：

前后端分离之后，前端每天都会接触到很多接口。发送网络请求的时候，有些接口就会使用 get 方法。最常见的传参方式就是，直接在 url 地址后面加参数。

直接采用这种方式传输数据，如果数据被劫持或抓包工具偷走之后，就会直接被人盗取走，特别危险。若是采用接口加密，如下：

上边那个看不懂的一长串符号，正是经过加密的数据。

接口加密就是将接口请求调用中传递的参数进行加密，目的就是为了保证接口请求中传递参数和返回的结果的安全性，一般比较敏感数据，如身份证、电话号码、账号、密码等需要进行加密。

常见的加密方式：

加密方式较多，可以根据自己具体的需要和项目语言选择其中一种。

加密之后的数据更安全，那我们能不能将接口所有的数据都进行加密呢？加密是非常消耗资源的，如果有大批量的数据都进行加密时，返回数据需要的时间就更长，会直接影响用户体验。所以我们进行加密时，只需要对敏感的重要的信息进行加密。

好了我今天的文章就到此结束了，本篇文章没有介绍到的 web 安全，欢迎评论区交流！

web攻击有哪些？怎么防护？

1、DoS和DDoS攻击（DoS(Denial of Service)，即拒绝服务，造成远程服务器拒绝服务的行为被称为DoS攻击。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击）
防范：(1) 反欺骗：对数据包的地址及端口的正确性进行验证，同时进行反向探测。(2) 协议栈行为模式分析：每个数据包类型需要符合RFC规定，这就好像每个数据包都要有完整规范的着装，只要不符合规范，就自动识别并将其过滤掉。(3) 特定应用防护：非法流量总是有一些特定特征的，这就好比即便你混进了顾客群中，但你的行为还是会暴露出你的动机，比如老重复问店员同一个问题，老做同样的动作，这样你仍然还是会被发现的。(4) 带宽控制：真实的访问数据过大时，可以限制其最大输出的流量，以减少下游网络系统的压力。
2、CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击。
防范：(1) 验证码。应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验，网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段，在关键业务点设置验证码。(2) Referer Check。HTTP Referer是header的一部分，当浏览器向web服务器发送请求时，一般会带上Referer信息告诉服务器是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律，如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面，来判断是不是CSRF攻击。但在某些情况下如从https跳转到http，浏览器处于安全考虑，不会发送referer，服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞，那么攻击者可以在其他网站注入恶意脚本，受害者进入了此类同域的网址，也会遭受攻击。出于以上原因，无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。(3) Anti CSRF Token。目前比较完善的解决方案是加入Anti-CSRF-Token，即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值，会进行校验该请求当中的token和cookie当中的token值是否都存在且相等，才认为这是合法的请求。否则认为这次请求是违法的，拒绝该次服务。这种方法相比Referer检查要安全很多，token可以在用户登陆后产生并放于session或cookie中，然后在每次请求时服务器把token从session或cookie中拿出，与本次请求中的token 进行比对。由于token的存在，攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时，当某个页面消耗掉token后，其他页面的表单保存的还是被消耗掉的那个token，其他页面的表单提交时会出现token错误。
3、XSS(Cross Site Scripting)，跨站脚本攻击。为和层叠样式表(Cascading Style Sheets，CSS)区分开，跨站脚本在安全领域叫做“XSS”。
防范：(1) 输入过滤。永远不要相信用户的输入，对用户输入的数据做一定的过滤。如输入的数据是否符合预期的格式，比如日期格式，Email格式，电话号码格式等等。这样可以初步对XSS漏洞进行防御。上面的措施只在web端做了限制，攻击者通抓包工具如Fiddler还是可以绕过前端输入的限制，修改请求注入攻击脚本。因此，后台服务器需要在接收到用户输入的数据后，对特殊危险字符进行过滤或者转义处理，然后再存储到数据库中。(2) 输出编码。服务器端输出到浏览器的数据，可以使用系统的安全函数来进行编码或转义来防范XSS攻击。在PHP中，有htmlentities()和htmlspecialchars()两个函数可以满足安全要求。相应的JavaScript的编码方式可以使用JavascriptEncode。(3) 安全编码。开发需尽量避免Web客户端文档重写、重定向或其他敏感操作，同时要避免使用客户端数据，这些操作需尽量在服务器端使用动态页面来实现。(4) HttpOnly Cookie。预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。(5)WAF(Web Application Firewall)，Web应用防火墙，主要的功能是防范诸如网页木马、XSS以及CSRF等常见的Web漏洞攻击。由第三方公司开发，在企业环境中深受欢迎。
4、SQL注入(SQL Injection)，应用程序在向后台数据库传递SQL(Structured Query Language，结构化查询语言)时，攻击者将SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
防范：(1) 防止系统敏感信息泄露。设置php.ini选项display_errors=off，防止php脚本出错之后，在web页面输出敏感信息错误，让攻击者有机可乘。(2) 数据转义。设置php.ini选项magic_quotes_gpc=on，它会将提交的变量中所有的’(单引号)，”(双引号)，\(反斜杠)，空白字符等都在前面自动加上\。或者采用mysql_real_escape()函数或addslashes()函数进行输入参数的转义。(3) 增加黑名单或者白名单验证。白名单验证一般指，检查用户输入是否是符合预期的类型、长度、数值范围或者其他格式标准。黑名单验证是指，若在用户输入中，包含明显的恶意内容则拒绝该条用户请求。在使用白名单验证时，一般会配合黑名单验证。
5、上传漏洞在DVBBS6.0时代被黑客们利用的最为猖獗，利用上传漏洞可以直接得到WEBSHELL，危害等级超级高，现在的入侵中上传漏洞也是常见的漏洞。该漏洞允许用户上传任意文件可能会让攻击者注入危险内容或恶意代码，并在服务器上运行。
防范： (1)检查服务器是否判断了上传文件类型及后缀。 (2) 定义上传文件类型白名单，即只允许白名单里面类型的文件上传。 (3) 文件上传目录禁止执行脚本解析，避免攻击者进行二次攻击。 Info漏洞 Info漏洞就是CGI把输入的参数原样输出到页面，攻击者通过修改输入参数而达到欺骗用户的目的。

3大Web安全漏洞防御详解：XSS、CSRF、以及SQL注入解决方案

我爱编程网(https://www.52biancheng.com)小编还为大家带来3大Web安全漏洞防御详解：XSS、CSRF、以及SQL注入解决方案的相关内容。

随着互联网的普及，网络安全变得越来越重要。Java等程序员需要掌握基本的web安全知识，防患于未然，下面列举一些常见的安全漏洞，以及对应的防御解决方案。

1.前端安全

2.后端安全

1.XSS简介

跨站脚本（cross site script）简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去，使别的用户访问都会执行相应的嵌入代码。

2.XSS攻击的危害

1、盗取用户资料，比如：登录帐号、网银帐号等

2、利用用户身份，读取、篡改、添加、删除企业敏感数据等

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

3.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ，所以重点是要过滤用户提交的信息。

1.CSRF简介

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF更具危险性。

2.CSRF攻击的危害

主要的危害来自于，攻击者盗用了用户身份，发送恶意请求。比如：模拟用户的行为发送邮件，发消息，以及支付、转账等财产安全。

3.防止CSRF的解决方案

1.简介

SQL注入是比较常见的网络攻击方式之一，主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，实现无帐号登录，甚至篡改数据库。

2.SQL注入的危害

3.防止SQL注入的方式

通常情况下，SQL注入的位置包括：

（1）表单提交，主要是POST请求，也包括GET请求；

（2）URL参数提交，主要为GET请求参数；

（3）Cookie参数提交；

（4）HTTP请求头部的一些可修改的值，比如Referer、User_Agent等；

4.简要举例

举一个简单的例子,select * from user where id=100 ,表示查询id为100的用户信息，如果id=100变为 id=100 or 2=2,sql将变为：select * from user where id=100 or 2=2，将把所有user表的信息查询出来，这就是典型的sql注入。

5.防止SQL注入的解决方案

1）对用户的输入进行校验，使用正则表达式过滤传入的参数

2）使用参数化语句，不要拼接sql，也可以使用安全的存储过程

3）不要使用管理员权限的数据库连接，为每个应用使用权限有限的数据库连接

4）检查数据存储类型

5）重要的信息一定要加密

总之就是既要做好过滤与编码并使用参数化语句，也要把重要的信息进行加密处理，这样sql注入漏洞才能更好的解决。

以上就是Web安全介绍，更多Redis系列、Spring Cloud、Dubbo等微服务、MySQL数据库分库分表等架构设计，具体请参考：

回复关键词 【高并发】即可获取！

以上就是web前端开发常见的漏洞 3大Web安全漏洞防御详解：XSS、CSRF、以及SQL注入解决方案全部内容，更多相关信息，敬请关注我爱编程网。更多相关文章关注我爱编程网：www.52biancheng.com

免责声明：文章内容来自网络，如有侵权请及时联系删除。