相信大家在各種技術(shù)文章都看到過(guò)SQL注入、XSS和CSRF這三個(gè)名詞，但是我覺(jué)得有一部分人可能并不清楚這三個(gè)詞的真正含義。接下來(lái)，我就說(shuō)下這三個(gè)名詞的含義，希望對(duì)大家能有所幫助。

[[258087]]

SQL注入

SQL注入是屬于注入式攻擊，這種攻擊是因?yàn)樵陧?xiàng)目中沒(méi)有將代碼與數(shù)據(jù)(比如用戶敏感數(shù)據(jù))隔離，在讀取數(shù)據(jù)的時(shí)候，錯(cuò)誤的將數(shù)據(jù)作為代碼的一部分執(zhí)行而導(dǎo)致的。

典型的例子就是當(dāng)對(duì)SQL語(yǔ)句進(jìn)行字符串拼接的時(shí)候，直接使用未轉(zhuǎn)義的用戶輸入內(nèi)容作為變量。這時(shí)，只要在sql語(yǔ)句的中間做修改，比如加上drop、delete等關(guān)鍵字，執(zhí)行之后后果不堪設(shè)想。

說(shuō)到這里，那么該怎么處理這種情況呢?三個(gè)方面：

1、過(guò)濾用戶輸入?yún)?shù)中的特殊字符，降低風(fēng)險(xiǎn)。

2、禁止通過(guò)字符串拼接sql語(yǔ)句，要嚴(yán)格使用參數(shù)綁定來(lái)傳入?yún)?shù)。

3、合理使用數(shù)據(jù)庫(kù)框架提供的機(jī)制。就比如Mybatis提供的傳入?yún)?shù)的方式 #{}，禁止使用${}，后者相當(dāng)于是字符串拼接sql，要使用參數(shù)化的語(yǔ)句。

總結(jié)下，就是要正確使用參數(shù)化綁定sql變量。

XSS

XSS：跨站腳本攻擊，Cross-Site Scripting，為了和前端的css避免重名，簡(jiǎn)稱為XSS，是指通過(guò)技術(shù)手段，向正常用戶請(qǐng)求的HTML頁(yè)面中插入惡意腳本，執(zhí)行。

這種攻擊主要是用于信息竊取和破壞等目的。比如2011年的微博XSS攻擊事件，攻擊者利用了微博發(fā)布功能中未對(duì)action-data漏洞做有效的過(guò)濾，在發(fā)布微博信息的時(shí)候帶上了包含攻擊腳本的URL，用戶訪問(wèn)就會(huì)加載惡意腳本，導(dǎo)致大量用戶被攻擊。

關(guān)于防范XSS上，主要就是通過(guò)對(duì)用戶輸入的數(shù)據(jù)做過(guò)濾或者是轉(zhuǎn)義，可以使用框架提供的工具類HtmlUtil。另外前端在瀏覽器展示數(shù)據(jù)的時(shí)候，要使用安全的API展示數(shù)據(jù)。比如使用innerText而不是innerHTML。

CSRF

跨站請(qǐng)求偽造，在用戶并不知情的情況下，冒充用戶發(fā)送請(qǐng)求，在當(dāng)前已經(jīng)登錄的web網(wǎng)站上執(zhí)行惡意操作，比如惡意發(fā)帖，修改密碼等。

大致來(lái)看，與XSS有重合的地方，前者是黑客盜用用戶瀏覽器中的登錄信息，冒充用戶去執(zhí)行操作。后者是在正常用戶請(qǐng)求的HTML中放入惡意代碼，

XSS問(wèn)題出在用戶數(shù)據(jù)沒(méi)有轉(zhuǎn)義，過(guò)濾;CSRF問(wèn)題出現(xiàn)在HTTP接口沒(méi)有防范不守信用的調(diào)用。

防范CSRF的漏洞方式：

1、CSRF Token驗(yàn)證，利用瀏覽器的同源限制，在HTTP接口執(zhí)行前驗(yàn)證Cookie中的Token，驗(yàn)證通過(guò)才會(huì)繼續(xù)執(zhí)行請(qǐng)求。

2、人機(jī)交互，例如短信驗(yàn)證碼、界面的滑塊。

之前在會(huì)議上也有一個(gè)思考，在人機(jī)驗(yàn)證這塊，如果不用驗(yàn)證碼的方式，用界面上的滑塊這種方式，而且滑塊還是第三方的。在APP的注冊(cè)、登錄使用這種人機(jī)驗(yàn)證的方式的話，如果第三方出現(xiàn)了問(wèn)題，那么自己的APP就完全崩掉了，發(fā)版之后的APP什么也改不了。