web应用安全

本文为web开发系列的一部分。

CSRF(Cross-site request forgery)攻击

跨站请求伪造主要方式为引导用户访问恶意站点，此站点发送非法请求同时包含cookie中有效用户信息，达成恶意攻击。

主要防止措施

• 由于攻击由恶意站点发起，阻止不明外域请求
• 由于恶意站点无法读取cookie等信息，给请求附加本域才能获取的信息

另外，现在服务接口设计多采用RESTful API无状态方式，一般不使用cookie/session认证机制，也就不会遭受CSRF攻击。

参考资料

• wiki CSRF
• 如何防止CSRF攻击？

XSS(Cross Site Scripting)攻击

跨站脚本攻击主要方式为将恶意代码注入到目标站点中，用户在目标站点中触发这些代码时获取敏感信息或执行非法操作。

主要防止措施

• 对于站点接收的入参，做好检查和过滤，防止代码注入。

参考资料

• wiki XSS
• 如何防止XSS攻击？

MITM(Man in the middle)攻击

当前互联网通讯的安全基础是HTTPS - HTTP over SSL。

HTTPS原理相关

• HTTPS wiki
• TLS/SSL wiki
• X.509 wiki
• Certificate Authority wiki
• SSL/TLS协议运行机制的概述
• 图解SSL/TLS协议

中间人攻击通过在拦截并转发浏览器和服务器之间的通讯，能够欺骗HTTPS，获取甚至篡改通讯数据。

主要防止措施

• 采用证书（公钥）固定技术，客户端验证服务器端证书（公钥）是否合法。更严格的措施是进行双向证书验证，服务器端也验证客户端证书。

参考资料

• wiki MITM
• Certificate and Public Key Pinning

更多内容请查看web开发系列