1 XSS: Cross Site Scripting

2 SQL Injection ?腳本注入

? ? 允許用戶在可編輯容器中編寫內(nèi)容，或者從第三方獲取內(nèi)容，然后生成URL parameters，

? ? 解決方案：需要對可輸入的內(nèi)容做安全性檢測， 控制內(nèi)容的安全性。

?? ?? ? content-security-policy：控制可以加載的資源文件的路徑 CSP

?? ?? ? X-XSS-Protection： disable 0 enable 1 block；當(dāng)發(fā)現(xiàn)反射的xss攻擊，禁止加載頁面

2 XSRF: Cross Site Request Forgery

? ? 偽基站請求，假冒用戶信息，網(wǎng)站發(fā)送用戶的敏感信息或獲取用戶的個人信息。

?? ?在發(fā)送請求的時候，驗(yàn)證請求的來源，一般發(fā)生跳轉(zhuǎn)到第三方網(wǎng)站， 利用表單可以提交到第三方網(wǎng)站：

? ? 解決方案：對于form提交，新增一個隱藏的token驗(yàn)證，或者針對每個request，判斷origin是否可靠和一致；

3 點(diǎn)擊劫持：

? ? ?一些第三方網(wǎng)站，推送某些游戲廣告，在點(diǎn)擊玩耍廣告游戲的同時，劫持你的點(diǎn)擊事件，然后定位iframe到該鼠標(biāo)點(diǎn)擊的地方 ，就像是用戶自主點(diǎn)擊到iframe上；

? ? 解決方案：設(shè)置reponse header： X-Frame-Option deny sameorigin allow-from uri