：网络协议第20节：Web开发安全

Posted 2022-12-12 温柔狠角色

大家好，在前面两个小节中，我们对网络协议相关的知识点做了简单的介绍。本小节是网络协议篇的最后一节，主要介绍和Web开发相关的安全漏洞，包括XSS跨站脚本攻击，CSRF跨站请求伪造，SSRF服务端请求伪造以及SQL注入漏洞等。

XSS，CSRF以及SSRF，SQL注入都是Web开发中最为常见的攻击手段，日常开发中，我们必须采取有效的防御措施。所以，让我们来一起看看常见Web安全漏洞的相关技术原理吧~

（1）XSS跨站脚本攻击：

答：XSS （Cross-Site Scripting）跨站脚本攻击是一种常见的安全漏洞，恶意攻击者在用户提交的数据中加入一些代码，将代码嵌入到了Web页面中，从而可以盗取用户资料，控制用户行为或者破坏页面结构和样式等。为了和 CSS 区分，这里把攻击的第一个字母改成了 X，于是叫做 XSS。

最简单的就是当我们提交一个查询后弹出一个alert页面，却无论如何都关不掉，这就是发生了XSS跨站脚本攻击。

XSS产生原因：

XSS产生的原因是过于信任客户端的数据，没有做好过滤或者转义等工作。如果客户端上传的数据中插入一些符号以及javascript代码，那么这些数据将会成为应用代码中的一部分了，这样就造成了XSS攻击。

XSS分类：

• 存储型：攻击者将恶意代码存储到了数据库中，在响应浏览器请求的时候返回