系统平安是一个经久不衰的话题，也是一个中大型系统必须思量的问题，这是一门专门的学问，无数专家学者都在为之起劲，今天小编就来向人人先容一下常见的网站攻击方式以及制止攻击的方案。

跨站剧本攻击(XSS)

XSS(Cross Site Scripting)，跨站剧本攻击。为和层叠样式表(Cascading Style Sheets，CSS)区离开，以是叫XSS，分为反射型和存储型两种（后续文章会先容到）。

这种攻击主要以滋扰浏览器显示为主，我们举例一个场景：我们平时都市在网页上面都市谈论，若是我们输入的内容是’<script>alert(“你被攻击了”);</script>’，若是这段话被腾讯数据库存储，而且正常输出到页面，那么页面是一个什么效果呢，肯定每个人接见到这个留言的时刻网页都市出来一个不正常的弹窗提醒语句，这就是XSS攻击。

制止攻击：制止XXS攻击需要我们从代码层面举行规避，对JavaScript标签举行转义后存储，这样浏览器剖析的时刻才不会出现问题。

SQL注入

和XSS一样，这是一个异常常见的网站攻击注入方式，就是我们平时写SQL的时刻不严谨导致的，例如我们需要查询一个用户是不是存在我们数据库内里。

若是name输入的是zhangsan，密码输入的是123456正常来看是没有问题的，然则若是我们name输入的是 zhangsan‘ or ‘1’=’1 呢？，上面的语句就变成了。

由于存在or ‘1’= ‘1’那么这个SQL就有查询效果了，就把别人的用户信息查出来了，因此乐成实现了SQL注入。

制止攻击：通例来说制止SQL注入的方式对照简朴，就是不要用SQL拼接的方式去组装查询语句，需要用到占位符和SQL预处理功效，这样会对SQL中的特殊字符如单引号等举行转义，这样就不会存在问题了。而且往往有时刻直接拼接的SQL是有风险的，可能特殊字符导致在生产环境的机械报错。

CSRF攻击

CSRF观点：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，有着不小的平安风险，可以理解为攻击者冒用了您的信息举行种种正当的操作，好比转账、发邮件、删除种种纪录等。

dnf时空石在哪换卡片，时空石兑换地点介绍

制止攻击：防止 CSRF 攻击现在来说主要有三种方式：验证 HTTP Referer 字段；在请求地址中添加 token 并验证，在 HTTP 头中自定义属性并验证。

文件上传破绽

这个也是对照常见的攻击方式，上传文件中上传了一些可执行的文件或者剧本，可能被服务器执行了，可能导致代码数据被偷窃或者被删除。

制止攻击：对于文件上传，不能够简朴的通过文件名后缀来判断文件类型，一样平常来说文件的起始的几个字节内容是牢固的,我们可以凭据这几个字节的内容来确定文件类型,这几个字节也被称为magic number。

重定向攻击

这种在一些钓鱼网站中经常见到，一样平常会发送给用户一个正当链接，这个链接被用户点击的时刻，导向进入一个非法网站，从而到达骗取用户信托、窃取用户资料的目的。

制止攻击：一样平常来说我们需要审核重定向的网址，通过加入是非名单的方式监控。

Cookie攻击

主要是行使JavaScript能够在当前域名下获取网站cookie的特征来攻击（javascript:alert(doucment.cookie)），一样平常来说可以配合XSS和CSRF来举行攻击，

制止攻击：现在主流浏览器都支持在cookie上加上HttpOnly的属性,这样cookie就无法通过Java Script来取得,若是能在要害cookie上打上这个符号，对cookie的平安性的提高有很大作用。

DoS攻击

拒绝服务攻击（denial-of-service attack, DoS）亦称洪水攻击，这也是网络平安领域不得不提到的一个攻击，主要攻击方式为不停的向目的服务器举行强烈多次的攻击，这种攻击及其消耗服务器的带宽和资源，最终使得服务器资源耗尽而崩塌。

制止攻击：这种攻击一样平常可以通过一些防火墙计谋和报警机制来解决，同时配上人为监控。简朴的讲可以对接见过多的IP举行封禁。深入一点讲，可以做一些流量洗濯方案。接纳抗 DDoS 软件，将正常流量和恶意流量区离开。