互联网 相关安全问题

下面是一些互联网应用中可能遇到的一些安全问题

•     XSS 攻击

Xss: 就是在网页上发布一些有问题的javascript代码，当用户点击这些代码，就有可能使用用户的权限做一些事情
一般解决办法： 对输出进行转义

•      CSRF 攻击

CSRF: Cross-site request forgery, 就是攻击者模仿用户提交一个请求(get 或者 post)
一般解决办法：拒绝get请求，在post请求页面增加token,对post请求结束重定向，对用户权限进行检查

•     Http header 安全

Http 协议根据报文中 有两个CRLF，来区分http的header和body ，一般解决办法，需要对你的http报文header进行分析
有些服务器，对header长度有限制，比如apaceh,如果超过就会出现400错误，一般解决办法，对你的cookie大小进行现在

•      Cookie防偷

Cookie很容易使用javascript得到， 一般解决办法 使用 httponly cookie

•     重定向安全

钓鱼网站通用做法，一般解决办法 对重定向进行检查

•     上传文件安全

一般网站都允许上传文件，这样就存在有问题的文件，对网站或者网站的用户产生风险。 一般解决办法： 对上传文件后缀名坚信检查，对文件内容进行检查

•     静态文件安全

一般web服务器，都有对静态文件读取的功能     一般解决办法： 隐藏服务器目录，屏蔽使用原生态的服务器取静态文件功能

•     日志

安全日志，跟普通日志不同