XSS 攻击

注入恶意代码

当被攻击者登陆网站时就会执行这些恶意代码，这些脚本可以读取 cookie，session tokens，或者其它敏感的网站信息，对用户进行钓鱼欺诈，甚至发起蠕虫攻击等

避免方式

• cookie 设置 httpOnly
• 转义页面上的输入内容和输出内容

CSRF 跨站请求伪造

攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的

CSRF 避免方式：

• 添加验证码

• 使用 token

  • 服务端给用户生成一个 token，加密后传递给用户

  • 用户在提交请求时，需要携带这个 token

  • 服务端验证 token 是否正确

  • get 不修改数据

  • 不被第三方网站访问到用户的 cookie

  • 设置白名单，不被第三方网站请求

  • 请求校验

DDos 分布式拒绝服务

利用大量的请求造成资源过载，导致服务不可用。

DDos 避免方式

• 限制单 IP 请求频率
• 防火墙等防护设置禁止 ICMP 包等
• 检查特权端口的开放