/WebSecurity

Primary LanguageJavaScript

web安全

1 xss攻击

借助js实现的攻击,在服务端没有对 <> 进行转译显示的时候发生。导致黑客可以在别人的浏览器上运行任意js代码。

解决方案:在网页内容输出的时候做转译,将<>转译为&lt;&gt;

nodejs中通过escape库简单搞定

2 sql注入攻击

利用服务端拼接sql字符串,拼接出各种sql,在服务端执行。使服务端数据泄露,甚至被任意篡改。

解决方案:sql预编译。