常见几种网络攻击防御方式
xss跨站脚本攻击
- 反射型 XSS(Reflected XSS):
恶意脚本是通过 URL 参数或者表单提交直接传递给服务器的,并且立即在响应页面中反射返回给用户。
假设有一个登录页面,用户可以通过 URL 参数传递一个消息:
<h1>欢迎</h1><p id="message"></p><script>const urlParams = new URLSearchParams(window.location.search);const message = urlParams.get('message');if (message) {document.getElementById('message').innerHTML = message;}</script>
如果攻击者发送以下 URL让用户点击:http://example.com/?message=<script>alert('XSS');</script>,浏览器会执行恶意脚本,弹出警告框。
- 存储型 XSS(Stored XSS):
恶意脚本被永久存储在目标服务器上(例如存在数据库中)。当用户请求包含这些脚本的数据时,脚本会在用户的浏览器中执行。
假设有一个简单的评论功能,用户的评论会被存储在数据库中并显示出来:
<h1>用户评论</h1><form method="POST" action="/submit_comment"><textarea name="comment" required></textarea><button type="submit">提交</button></form><div id="comments"><p><script>alert('XSS');</script></p></div>
防御措施:
- 避免直接使用 innerHTML、eval:避免使用这些函数直接解析和运行用户输入内容,使用更安全的方法来操作 DOM,例如 textContent 和 setAttribute。
- 内容安全策略( CSP):使用 HTTP 头部 Content-Security-Policy 来限制浏览器加载或执行某些类型的资源,如
Content-Security-Policy:script-src 'self',仅允许加载来自同源的脚本,不允许内联脚本和其他来源的脚本,这种写法document.write('<p>' + window.location.hash.substring(1) + '</p>')就是不被允许的。 - 数据安全处理后再存储或展示,如
userComment.replace(/</g, "<").replace(/>/g, ">")
跨站请求伪造(CSRF)
假设用户已经在一个网站登录并保持会话。攻击者诱导用户访问一个恶意网站或者点击某个恶意的链接,这个恶意链接利用用户的认证信息向受信任的网站发起请求,从而执行操作。
举例:
受信任的网站 (example.com) :包含一个用于修改用户邮箱的表单。
攻击者的网站 (attacker.com) :包含一个恶意的脚本或链接。
假设用户已经登录 example.com,并且有一个用于修改邮箱的表单:
<!-- example.com/change_email -->
<form method="POST" action="/change_email"><input type="email" name="email" value="user@example.com"><input type="submit" value="Change Email">
</form>
当用户提交表单时,浏览器会附带用户的认证 Cookie,发送 POST 请求到服务器修改邮箱地址。
攻击者的网站:attacker.com
用户访问这个页面:
<!-- attacker.com/csrf_attack -->
<img src="http://example.com/change_email?email=attacker@example.com" style="display:none">
如果用户在登录状态下访问 attacker.com,浏览器会带上用户的认证 Cookie,向 example.com 发起修改邮箱请求,成功修改电子邮件地址,而用户完全不知情。
防御措施:
- 使用 CSRF Token:在请求中加入一个唯一的、不可预测的 Token,这个 Token 由服务器生成并验证,确保请求的合法性。
- 验证 Referer 头:验证请求的来源是否为受信任的来源,通过检查 HTTP Referer 头来确保请求是从正确的网页发起的
- 正确配置 SameSite Cookie 属性:SameSite=Strict:会更严格地限制 Cookie 只在同站请求时发送,不会在跨站请求中发送。
SQL注入
攻击者通过向应用程序的输入字段注入恶意 SQL 代码,来操纵数据库查询,从而访问、修改或删除数据库中的敏感数据。这种攻击通常发生在应用程序未正确地转义和处理用户输入时。
例如,一个典型的数据库查询可能长这样:
String username = request.getParameter("username");
String password = request.getParameter("password");
String query = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
攻击者可能会在输入字段中输入如下数据:
用户名:admin' --
密码:任意值
最终构建的 SQL 查询变成:
SELECT * FROM users WHERE username = 'admin' --' AND password = '任意值' 导致不需输入密码即可访问用户信息
防御措施:
- 使用参数化查询
query = "SELECT * FROM users WHERE username = ? AND password = ?"
cursor.execute(query, (username, password))
点击劫持
攻击者创建一个恶意网站。在该网站中嵌入一个透明的 iframe,iframe 加载受害者希望访问的合法网站。用户访问恶意网站并进行互动,不知不觉中在透明的 iframe 中操作合法网站。
比如:
<h1>Welcome to the Fun Game!</h1><div class="cover">Click here to win!</div><iframe src="http://example.com"></iframe>
用户点击恶意网站上的“Click here to win!”按钮,实际上点击了加载在透明 iframe 中的“Delete Account”按钮,从而在合法网站上执行了删除账户的操作。
防御措施:
- 设置 X-Frame-Options 头,可以指定是否允许网页被嵌入到 iframe 中:
X-Frame-Options: DENY。
DENY:页面不允许被嵌入 iframe,包括同源 iframe。SAMEORIGIN:页面只允许被嵌入到同源的 iframe。
ALLOW-FROM uri:页面允许被指定的 uri 来嵌入
- 设置 CSP的 frame-ancestors 指令,控制哪些来源可以包含页面内容:
Content-Security-Policy: frame-ancestors 'none';
‘none’:页面不可被嵌入任何 iframe。
‘self’:页面只允许被同源 iframe 嵌入。
‘self’ http://example.com:页面允许由本源和指定的 URI 嵌入。
相关文章:
常见几种网络攻击防御方式
xss跨站脚本攻击 反射型 XSS(Reflected XSS): 恶意脚本是通过 URL 参数或者表单提交直接传递给服务器的,并且立即在响应页面中反射返回给用户。 假设有一个登录页面,用户可以通过 URL 参数传递一个消息: &…...
操作系统之输入输出
🧑 博主简介:CSDN博客专家,历代文学网(PC端可以访问:https://literature.sinhy.com/#/literature?__c1000,移动端可微信小程序搜索“历代文学”)总架构师,15年工作经验,…...
TCP/IP的网络连接设备
TCP/IP层物理层网卡、集线器、中继器数据链路层网桥、交换机网络层路由器传输层网关应用层 1.网桥:网桥主要功能是将一个网络的数据沿通信线路复制到另一个网络中去,可以有效的连接两个局域网 2.网关:网关又称协议转换器,是将两…...
记一次feign调用400,参数过长导致,修改解决
feign客户端PostMapping("/website/checkChooseColumn") boolean checkChooseColumn(RequestParam("chooseColumn") String chooseColumn);服务端 PostMapping("/checkChooseColumn") public boolean checkChooseColumn(RequestParam("cho…...
【大模型基础_毛玉仁】4.3 参数选择方法
目录 4.3 参数选择方法4.3.1 基于规则的方法4.3.2 基于学习的方法1)公式:2)Child-tuning 的两种变体模型3)Child-tuning总结 4.3 参数选择方法 参数选择方法: 对预训练模型中部分参数微调,不添加额外参数以避免推理时…...
企业级Linux服务器初始化优化全流程
实战指南:企业级Linux服务器初始化优化全流程 本文基于某电商平台百万级并发服务器的真实调优案例整理,所有操作均在Rocky Linux8.5验证通过,不同发行版请注意命令差异 一、服务器安全加固(Situation-Task-Action-Resultÿ…...
- 垂直拆分(服务治理体系、安全架构升级))
亿级分布式系统架构演进实战(十一)- 垂直拆分(服务治理体系、安全架构升级)
亿级分布式系统架构演进实战(一)- 总体概要 亿级分布式系统架构演进实战(二)- 横向扩展(服务无状态化) 亿级分布式系统架构演进实战(三)- 横向扩展(数据库读写分离&#…...
InfiniBand解决方案助力领先科技公司网络升级)
飞速(FS)InfiniBand解决方案助力领先科技公司网络升级
国家:越南 行业:信息技术 网络类型:InfiniBand网络 方案类型:HPC网络 案例亮点 通过真实使用场景的全面测试,确保出色兼容性和高可用性,显著降低部署风险和运营成本。 借助飞速(FS…...
[Qt5] QMetaObject::invokeMethod使用
📢博客主页:https://loewen.blog.csdn.net📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!📢本文由 丶布布原创,首发于 CSDN,转载注明出处🙉📢现…...
深入理解垃圾收集算法:从分代理论到经典回收策略
垃圾收集(Garbage Collection, GC)是现代虚拟机自动内存管理的核心机制。它不仅能自动回收不再使用的对象,还能极大减轻开发者在内存管理上的负担。本文将详细讲解垃圾收集算法的基本思想、分代收集理论以及几种经典的垃圾收集算法。 注&…...
数据降维——PCA与LDA
特征选择和特征提取 特征选择和特征提取是数据降维的重要步骤。 1. 定义与目标 特征提取: 目标:通过变换(如投影、编码)将原始高维特征映射到新的低维空间,新特征是原始特征的组合(线性或非线性ÿ…...
机器学习中的 K-均值聚类算法及其优缺点
K-均值聚类是一种常用的无监督学习算法,用于将数据集中的样本分为 K 个簇。其工作原理是通过迭代优化来确定簇的中心点,实现样本的聚类。 算法步骤如下: 随机选择 K 个样本作为初始簇中心。根据每个样本和簇中心的距离将样本归类到最近的簇…...
RAID原理
一、RAID 0 原理 核心特点 条带化(Striping):数据被分割成块(Block),交替写入多个磁盘(至少2块)。无冗余:不提供数据备份或校验,依赖所有磁盘同…...
2025系统分析师---软件工程:深度剖析常见软件开发方法
在软件工程这一复杂而精妙的领域中,软件开发方法的选择与实施无疑是项目成功的关键所在。作为一名资深软件技术专家,我深知不同的开发方法适用于不同的业务场景,各自具备独特的优缺点。本文将深入探讨几种常见的软件开发方法,包括…...
)
中文字符计数器,助力所有python对齐业务(DeepSeek代笔)
编码制式反推双宽,精准字宽库力推中文对齐。 笔记模板由python脚本于2025-03-26 23:49:24创建,本篇笔记适合为中文终端显示和文本输出对齐烦恼的coder翻阅。 【学习的细节是欢悦的历程】 博客的核心价值:在于输出思考与经验,而不仅…...
扫描注解指定路径
10.扫描注解 在 Spring Boot 中,EnableConfigurationProperties 和 ConfigurationPropertiesScan 是两个用于显式启用和管理 ConfigurationProperties 类的注解。它们提供了更灵活的方式来注册和扫描 ConfigurationProperties 类,尤其是在某些复杂场景或…...
像素到数据:Selenium,OpenCV,Tesseract,Python构建的智能解析系统
基于Selenium与OCR技术的网页信息智能提取方案 一、应用场景解析 在Web自动化测试和数据分析领域,经常需要处理动态渲染的网页信息,特别是当页面元素以图像形式呈现时。本文介绍的解决方案结合了浏览器自动化与图像识别技术,有效解决了以下典型场景: 动态渲染的可视化数据…...
徘徊检测:视觉分析技术的安防新方向
利用视觉分析的方式检测徘徊检测 背景 随着时代的发展,失业率上升导致社会不稳定因素增加,安保问题愈发突出。特别是在住宅区、工厂、办公园区等公共场所,对于徘徊人员的检测成为确保安全的关键一环。传统的安保手段如人工巡逻、监控录像回…...
CentOS 7 挂载与卸载文件系统
一、挂载文件系统 1. 查看系统磁盘与分区情况 在挂载文件系统之前,需要先了解系统中的磁盘和分区信息。使用fdisk -l命令,可列出所有磁盘和分区的详细信息,示例如下: [rootlocalhost ~]# fdisk -lDisk /dev/sda: 53.7 GB, …...
)
MySQL实战(尚硅谷)
要求 代码 # 准备数据 CREATE DATABASE IF NOT EXISTS company;USE company;CREATE TABLE IF NOT EXISTS employees(employee_id INT PRIMARY KEY,first_name VARCHAR(50),last_name VARCHAR(50),department_id INT );DESC employees;CREATE TABLE IF NOT EXISTS departments…...
JavaScript 改变 HTML 内容
JavaScript 改变 HTML 内容 JavaScript 改变 HTML 内容的核心在于通过 DOM(文档对象模型)操作实现动态更新,以下是主要方法及场景解析: 一、直接修改元素内容 1. innerHTML 属性 用于获取或设置元素的 HTML 内容(包…...
)
第十四届蓝桥杯大赛软件赛省赛C/C++ 大学 B 组(部分题解)
文章目录 前言日期统计题意: 冶炼金属题意: 岛屿个数题意: 子串简写题意: 整数删除题意: 总结 前言 一年一度的🏀杯马上就要开始了,为了取得更好的成绩,好名字写了下前年2023年蓝桥…...
机器学习——Bagging、随机森林
相比于Boosting的集成学习框架,Bagging(Bootstrap Sampling,自助聚集法,又称为自助采样)作为一种自助聚集且并行化的集成学习方法,其通过组合多个基学习器的预测结果来提高模型的稳定性和泛化能力。其中随机森林是Bagging学习框架…...
数据库——MySQL基础操作
一、表结构与初始数据 假设存在以下两张表: 1. student 表 字段名数据类型描述idINT学生唯一标识符nameVARCHAR(100)学生姓名ageINT学生年龄sexVARCHAR(10)学生性别 初始数据: idnameagesex1张三20男2李四22女3王五21男 2. course 表 字段名数据类…...
)
存储过程、存储函数与触发器详解(MySQL 案例)
存储过程、存储函数与触发器详解(MySQL 案例) 一、存储过程(Stored Procedure) 定义 存储过程是预先编译好并存储在数据库中的一段 SQL 代码集合,可以接收参数、执行逻辑操作(如条件判断、循环)…...
2025年注册安全工程师考试练习题
注册安全工程师练习题,涵盖了不同的知识点和题型: 单选题 某机械制造企业委托具有相应资质的中介服务机构的专业技术人员为其提供安全生产管理服务。依据《安全生产法》,保证该企业安全生产的责任由( )负责。 A. 专业…...
Photoshop 2025安装包下载及Photoshop 2025详细图文安装教程
文章目录 前言一、Photoshop 2025安装包下载二、Photoshop 2025安装教程1.解压安装包2.运行程序3.修改安装路径4.设安装目录5.开始安装6.等安装完成7.关闭安装向导8.启动软件9.安装完成 前言 无论你是专业设计师,还是初涉图像处理的小白,Photoshop 2025…...
)
ESP32通过WiFi获取网络时间(NTP)
代码部分 代码由station_example_main的官方例程修改 /* WiFi station ExampleThis example code is in the Public Domain (or CC0 licensed, at your option.)Unless required by applicable law or agreed to in writing, thissoftware is distributed on an "AS IS&…...
docker使用命令笔记
docker使用命令笔记 1. 安装docker2. 拉取镜像3. 镜像与容器4. 基于镜像创建容器4. 操作创建好的容器5. docker文件传输6. ubuntu的docker的一些基本环境搭建 记录docker的一些使用命令 1. 安装docker 遵循官方安装说明即可,windows需要下载docker desktop后在doc…...
关于服务器只能访问localhost:8111地址,局域网不能访问的问题
一、问题来源: 服务器是使用的阿里云的服务器,服务器端的8111端口没有设置任何别的限制,但是在阿里云服务器端并没有设置相应的tcp连接8111端口。 二、解决办法: 1、使用阿里云初始化好的端口;2、配置新的阿里云端口…...
触发器及报警
一、触发器介绍 Trigger 作用:报警 触发某一个监控项状态的变化 基于监控项创建 一个监控项可以有多个触发器 1、创建触发器语法 {<server>:<key>.<function>(<parameter>)}<operator><constant> {被监控主机:键值.函数…...
如何用 Postman 发送 GET 请求?详解
Postman 是一款广泛用于 API 开发和测试的工具,通过它,我们可以轻松地发送 GET 请求。首先,需要新建接口并设置为 GET 请求,然后填写相关的 URL 地址和参数,最后点击“Send”按钮即可发起请求。 Postman 如何发送 get…...
主流软件工程模型全景剖析
一、瀑布模型 阶段划分 需求分析:与用户深入沟通,全面了解软件的功能、性能、可靠性等要求,形成详细的需求规格说明书。设计阶段:包括总体设计和详细设计。总体设计确定软件的体系结构,如模块划分、模块之间的接口等&…...
NVMe协议
一、NVMe 的诞生背景 传统协议瓶颈: 早期的SATA接口SSD使用 AHCI协议,设计初衷是适配机械硬盘(HDD),其单队列、高延迟的特性无法发挥SSD的高速性能。PCIe接口的潜力: NVMe专为 PCIe接口的SSD 设…...
开关磁阻电机类型及其控制技术
开关磁阻电机( Switched Reluctance Motors,SRM) 具有结构简单、坚固、成本低、 工作可靠、控制灵活、运行效率高,适于高速与恶劣环境运行等优点, 由其构成的传动系统( Switched Reluctance Drives, SRD) 具有交、直流传动系统所没有的优点, 为此,世界各…...
CMake 构建的Qt 项目中的构建套件的配置
在Qt 框架中,使用CMake 构建工具时,需要自己给构建套件添加相关配置,否则已经添加的构建套件将不可选择使用。 创建CMake 项目后,如果打开项目配置时,出现如下构建套件不可选的情况, 需要先确认是否安装…...
:移动端特色广告与创意策略探秘)
程序化广告行业(34/89):移动端特色广告与创意策略探秘
程序化广告行业(34/89):移动端特色广告与创意策略探秘 大家好!在程序化广告的学习之旅中,每一次探索都像是发现了新大陆。今天,我依旧怀揣着和大家共同进步的想法,来和大家深入聊聊程序化广告行…...
IT行业项目管理风险规避策略
在IT项目中,前端、后端、测试等不同角色的协同工作会带来各种项目管理风险。以下是针对这些风险的规避策略: 一、跨职能团队协作风险 1. 沟通不畅风险 解决方案: 建立每日站会机制(15分钟以内)使用协作工具(如Jira、飞书、钉钉)制定明确的接口文档标准(Swagger/YAPI)…...
24届非科班硕士入职做上位机开发,后续往工业软件还是音视频、后端发展?
今天给大家分享的是一位粉丝的提问,24届非科班硕士入职做上位机开发,后续往工业软件还是音视频、后端发展? 接下来把粉丝的具体提问和我的回复分享给大家,希望也能给一些类似情况的小伙伴一些启发和帮助。 同学提问: …...
Hadoop三 分布式sql计算hive入门
一 分布式SQL计算 对数据进行统计分析,SQL是目前最为方便的编程工具。 大数据体系中充斥着非常多的统计分析场景,所以,使用SQL去处理数据,在大数据中也是有极大的需求的。MapReduce支持程序开发(Java、Python等&#…...
)
【C++】C++中的动态内存分配(new和delete)
C中的动态内存分配(分配堆空间) 1. C语言与C动态内存分配2. 使用3.malloc和new有什么区别示例代码: 1. C语言与C动态内存分配 C语言 malloc calloc realloc free 函数 C new关键字分配堆空间 delete关键字释放堆空间 2. 使用 第一种&#…...
Go 代理爬虫
现在注册,还送15美金注册奖励金 --- 亮数据-网络IP代理及全网数据一站式服务商 使用代理服务器,通过 Colly、Goquery、Selenium 进行网络爬虫的基础示例程序 本仓库包含两个分支: basic 分支包含供 Go Proxy Servers 这篇文章改动的基础代码…...
)
推陈换新系列————java8新特性(编程语言的文艺复兴)
文章目录 前言一、新特性秘籍二、Lambda表达式2.1 语法2.2 函数式接口2.3 内置函数式接口2.4 方法引用和构造器引用 三、Stream API3.1 基本概念3.2 实战3.3 优势 四、新的日期时间API4.1 核心概念与设计原则4.2 核心类详解4.2.1 LocalDate(本地日期)4.2…...
蓝桥杯算法实战分享
蓝桥杯算法实战分享 蓝桥杯是国内知名的程序设计竞赛,涵盖算法、数据结构、编程技巧等多个领域。本文将从实战角度分享蓝桥杯算法竞赛的常见题型、解题思路和优化技巧,帮助参赛者更好地备战。 1. 常见题型与解题思路 蓝桥杯的题型主要包括以下几类&…...
树莓集团园区运营案例:成都国际数字影像产业园的运营逻辑
成都国际数字影像产业园的成功运营,是树莓集团在产业园运营领域的典型案例。其运营逻辑可以归纳为以下几点: 一、政企合作,优势互补 园区由树莓集团与金牛区政府合作共建,这种模式充分利用双方的优势。政府提供政策支持、土地资…...
【动态规划】最长公共子序列问题 C++
问题描述 子序列:序列Z是原序列X的子序列,当且仅当Z的元素在X中按严格递增的下标顺序出现(不要求连续)。例如X{A,B,C,B,D,A,B}中,Z{B,C,D,B}是子序列,对应X的下标2→3→5→7。公共子序列:若序列…...
K8s故障排查手册:从Pod崩溃到网络不通
本文基于数百个真实生产环境案例,系统化梳理Kubernetes集群的故障排查方法论。涵盖Pod生命周期异常、服务发现失效、存储卷挂载失败、网络策略冲突等核心故障场景,结合Prometheus监控指标、eBPF深度追踪、CNI插件分析等技术手段,为企业运维团…...
HTML DOM 基础:用「家族树」理解网页操控术
HTML DOM 基础:用「家族树」理解网页操控术 当网页被加载时,浏览器会创建页面的文档对象模型(Document Object Model),也就是DOM。 DOM 是JavaScript 操作网页的接口,它的作用是将网页转为一个JavaScript 对象,从而可以用脚本进行各种操作(比如对元素增删内容)。 浏览…...
扩展卡尔曼滤波
1.非线性系统的线性化 标准卡尔曼滤波 适用于线性化系统,扩展卡尔曼滤波 则扩展到了非线性系统,核心原理就是将非线性系统线性化,主要用的的知识点是 泰勒展开(我另外一篇文章的链接),如下是泰勒展开的公式…...
【AI News | 20250326】每日AI进展
AI News 1、Gemini 2.5:谷歌DeepMind最智能AI模型亮相 谷歌DeepMind推出Gemini 2.5,其最智能AI模型。首款实验版本Gemini 2.5 Pro在多项基准测试中领先,登顶LMArena榜首,展现卓越的推理与编码能力。该模型为“思考模型”…...