什么是SQL注入、XSS以及CSRF?【网络安全知识培训】

老男孩IT教育

常见问题

2021年9月3日 17:38

想必很多人都看到过SQL注入、XSS以及CSRF这三个词，但大部分人对它根本不了解，甚至不知道其含义是什么。接下来，老男孩教育为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。

　　想必很多人都看到过SQL注入、XSS以及CSRF这三个词，但大部分人对它根本不了解，甚至不知道其含义是什么。接下来，老男孩教育为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。

网络安全培训班

　　SQL注入

　　SQL注入属于注入式攻击，这种攻击是因为在项目中没有将代码与数据隔离，在读取数据的时候，错误的将数据作为代码的一部分执行而导致的。

　　如何处理SQL注入情况?三个方面：

　　1、过滤用户输入参数中的特殊字符，降低风险;

　　2、禁止通过字符串拼接sql语句，严格使用参数绑定来传入参数;

　　3、合理使用数据库框架提供的机制。

　　XSS

　　XSS，跨站脚本攻击，Cross-Site Scripting，为了和前端的CSS避免重名，简称为XSS，是指通过技术手段，向正常用户请求的HTML页面中插入恶意脚本，执行。

　　这种攻击主要是用于信息窃取和破坏等目的。在防范XSS上，主要就是通过对用户输入的数据做过滤或者或者转义，可以使用框架提供的工具类HTML Util，另外前端在浏览器展示数据的时候，要使用安全的API展示数据。比如使用inner text而不是inner HTML。

　　CSRF

　　跨站请求伪造，在用户并不知情的情况下，冒充用户发送请求，在当前已经登录的Web网站上执行恶意操作，比如恶意发帖，修改密码等。

　　大致来讲，与XSS有重合的地方，前者是黑客盗用用户浏览器中的登录信息，冒充用户去执行操作;后者是在正常用户请求的HTML中放入恶意代码，XSS问题出在用户数据没有转义，过滤;CSRF问题出现在HTTP接口没有防范不守信用的调用。

　　防范CSRF漏洞方式：

　　1、CSRF Token验证，利用浏览器的同源限制，在HTTP接口执行前验证Cookie中的Token，验证通过才会继续执行请求。

　　2、人机交互，比如短信验证码、界面的滑块等。

　　基于互联网行业对网络安全人才的需求，老男孩教育网络安全培训课程体系从理论到实战逐步发展，旨在培养符合企业标准的it精英。

　　推荐阅读：

　　老男孩IT教育与国家网络空间安全人才培养基地达成战略合作

本文经授权发布，不代表老男孩教育立场。如若转载请联系原作者。

扫码加入Python学院讨论学习群