xss概念:
xss(Cross Site Script)跨站腳本攻擊,為不和層疊樣式表(css)混淆,寫為xss
存在位置:web應用系統最常見軟件安全漏洞
后果:代碼植入到系統頁面,篡改數據、盜取系統私密數據等非法目的
常見XSS攻擊方式
1、往頁面表單提交惡意的js腳本代碼
2、通過alert來攻擊
3、通過image來攻擊
4、通過iframe來攻擊
5、通過a來攻擊
xss攻擊能夠實現的原因:
1.系統沒有過濾javascript標簽
2.系統沒有過濾掉html標簽
xss攻擊的解決方案:
對特殊符號進行轉義:"<",">"
sql注入漏洞存在的前提條件:
1.通過拼接條件字段的值得到的執行的sql命令
2.拼接后得到的sql出現了恆等表達式,就能繞過數據庫的校驗
解決方案:
通過已有的數據庫框架的預編譯機制來預處理即將要執行的sql命令,
就能起到防注入的作用。(sql預編譯機制)
cookie,session的對比
1.cookie它是一個客戶端技術,利用cookie來做一個數據緩存,非重要的數據可以放cookie里緩存。
2.session它是一個服務端技術,session是一個會話,用戶登錄成功后服務器端會創建一個session會話,並且將登陸用戶信息保存在會話里面,
並且把該session會話的編號sessionId緩存在客戶端,后面用戶再來請求網站內容的時候就會帶上這個sessionId編號,
服務器拿到這個編號去匹配session,如果是同一個就意味着此session會話就是登陸后創建的session,就會鑒權通過,用戶就有權限訪問我們的系統了