跨站脚本攻击 XSS(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为 XSS。

存储型

反射型

DOM 型

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

重灾区：评论区、留言区、个人信息、订单信息等 针对型：站内信、网页即时通讯、私信、意见反馈 存在风险：搜索框、当前目录、图片属性等

XSS 防御的总体思路是：对用户的输入(和 URL 参数)进行过滤，对输出进行 html 编码。

CSP

HttpOnly Cookie

代码防御

CSRF(Cross-site Request Forgery),即跨站请求伪造。

主要就是利用用户的登录状态发起跨站请求，伪造带有正确 Cookie 的 http 请求，直接绕过后台的登录验证，然后冒充用户执行一些操作

前端

后端

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过iframe嵌套的方式潜入自己的网页中，并将iframe设置为透明，诱导用户点击。

网站增加 js 代码判断 `window.top !== window` 则跳转 `window.top.location = location.href`, 如果是被iframe嵌套了则让顶层页面进行跳转, 这样就去除了嵌套页

设置 headers `X-Frame-Options`, 可通过服务器设置 response headers, 或者在 html 中设置 meta 标签

DNS 劫持就是通过劫持了 DNS 服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果. 使特定网络无法响应或返回假地址。

本机DNS劫持

路由DNS劫持

攻击DNS服务器

加强本地计算机病毒检查，开启防火墙等

改变路由器默认密码，防止攻击者修改路由器的DNS配置指向恶意的DNS服务器

使用自己的解析服务器代替或在客户端直接以ip的形式将请求发出去，绕过运营商的DNS解析服务器，从而避免被劫持。

HTTP 请求是明文的, 容易被拦截和修改, HTTP 劫持主要是篡改请求的内容。

类似DNS劫持返回302让用户浏览器跳转到另外的地址。(钓鱼网站就是这么干)

在服务器返回的HTML数据中插入js或dom节点（广告）。（比较常见）

使用 HTTPS 协议加密

配置 CSP, 可防止攻击者插入的第三方外链生效

中间人攻击(Man-in-the-MiddleAttack，简称“MITM攻击”)：是指攻击者与通讯的两端分别创建独立的联系，并交换其所收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个会话都被攻击者完全控制。

确保你访问的每个网站都使用HTTPS

不要使用公共Wi-Fi

行并更新防病毒软件

不访问浏览器警告的网站

通过把 SQL 命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL命令。

永远不要信任用户的输入，要对用户的输入进行校验，可以通过正则表达式，或限制长度，对单引号和双"-"进行转换等。

不要使动态拼装SQL，可以使用参数化的SQL或者直接使用存储过程进行数据查询存取。

不使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。

在短时间内发起大量请求，耗尽服务器的资源，无法响应正常的访问，造成网站实质下线。

增加带宽

CDN 分发: CDN 指的是网站的静态内容分发到多个服务器，用户就近访问，提高速度。因此，CDN 也是带宽扩容的一种方法，可以用来防御 DDOS 攻击。

增加token身份校验不通过拒绝访问

根据 ip 限制访问次数

和 sql 攻击类似, 将未经验证的字符串传给 shell 执行程序, 造成恶意攻击

避使用用户输入的内容拼接 shell 直接执行

对输入内容校验 和过滤

概述

配置方式

常见可选项

概述

分类

解决跨域

概述

内容

特点

Cookie 应对 CSRF 攻击

Cookie 应对 XSS攻击