web安全
1 xss攻击
借助js实现的攻击,在服务端没有对 <> 进行转译显示的时候发生。导致黑客可以在别人的浏览器上运行任意js代码。
解决方案:在网页内容输出的时候做转译,将<>转译为<
和 >
nodejs中通过escape
库简单搞定
2 sql注入攻击
利用服务端拼接sql字符串,拼接出各种sql,在服务端执行。使服务端数据泄露,甚至被任意篡改。
解决方案:sql预编译。
借助js实现的攻击,在服务端没有对 <> 进行转译显示的时候发生。导致黑客可以在别人的浏览器上运行任意js代码。
解决方案:在网页内容输出的时候做转译,将<>转译为<
和 >
nodejs中通过escape
库简单搞定
利用服务端拼接sql字符串,拼接出各种sql,在服务端执行。使服务端数据泄露,甚至被任意篡改。
解决方案:sql预编译。