分享幾個(gè)常見(jiàn)web安全隱患的解決方法

下面是常見(jiàn)的幾種web安全問(wèn)題及解決方案，希望能對大家有所幫助。

1、跨站腳本攻擊（Cross Site Scripting）

解決方案

xss之所以會(huì )發(fā)生，是因為用戶(hù)輸入的數據變成了代碼，因此需要對用戶(hù)輸入的數據進(jìn)行html轉義處理，將其中的“尖括號”，“單引號”，“雙引號”之類(lèi)的特殊字符進(jìn)行轉義編碼。

2、SQL注入

報錯時(shí)，盡量使用錯誤頁(yè)面覆蓋堆棧信息

3、跨站請求偽造（Cross-Site Request Forgery）

解決方案

（1）將cookie設置為HttpOnly

server.xml如下配置

<Context docBase="項目" path="/netcredit" reloadable="false" useHttpOnly="true"/>

web.xml如下配置

（2）增加token

表單中增加一個(gè)隱藏域，提交時(shí)將隱藏域提交，服務(wù)端驗證token。

（3）通過(guò)referer識別

根據Http協(xié)議，在HTTP頭中有一個(gè)字段交Referer，它記錄了HTTP請求的來(lái)源地址。如果攻擊者要實(shí)施csrf攻擊時(shí)，必須從其他站點(diǎn)偽造請求，當用戶(hù)通過(guò)其他網(wǎng)站發(fā)送請求時(shí)，請求的Referer的值是其他網(wǎng)站的網(wǎng)址。因此可以對每個(gè)請求驗證其Referer值即可。

4、文件上傳漏洞

在網(wǎng)上經(jīng)常會(huì )操作，上傳圖片、文件到服務(wù)端保存，這時(shí)候，如果沒(méi)有對圖片文件做正確的校驗，會(huì )導致一些惡意攻擊者上傳病毒，木馬，外掛等等到服務(wù)器，竊取服務(wù)器信息，甚至導致服務(wù)器癱瘓。

因此需要對上傳的文件進(jìn)行校驗，很多文件起始的幾個(gè)字節是固定的，因此，根據這幾個(gè)字節的內容，就可以判斷文件的類(lèi)型，這幾個(gè)字節也被稱(chēng)作魔數。

設置類(lèi)型白名單

相關(guān)推薦：