次に、Web セキュリティに関する一般的な問題と解決策をいくつか示します。皆様のお役に立てれば幸いです。
1. クロスサイトスクリプティング
解決策
xss は、ユーザーが入力したデータがコードになるために発生するため、ユーザーが入力したデータに対して HTML エスケープ処理を実行する必要があります。 、「山括弧」、「一重引用符」、「二重引用符」などの特殊文字をエスケープしてエンコードします。
2. SQL インジェクション
エラーを報告するときは、エラー ページを使用してスタック情報を上書きしてみてください
3. クロス-サイト リクエスト フォージェリ (クロスサイト リクエスト フォージェリ)
解決策
(1) Cookie を HttpOnly に設定します
server.xml は次のように構成されています
<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>
web.xml は次のように構成されています
(2) トークンの追加
フォームに隠しフィールドを追加し、送信時に隠しフィールドを送信します。そしてサーバーはトークンを検証します。
(3) リファラーによる識別
HTTP プロトコルによると、リファラーに送信される HTTP ヘッダーには、HTTP リクエストの送信元アドレスを記録するフィールドがあります。攻撃者が CSRF 攻撃を実装したい場合は、他のサイトからのリクエストを偽造する必要があります。ユーザーが別の Web サイト経由でリクエストを送信する場合、リクエストされた Referer の値は他の Web サイトの URL になります。したがって、リクエストごとに Referer 値を確認できます。
4. ファイル アップロードの脆弱性
私たちは、インターネット上で写真やファイルをサーバーにアップロードして保管することがよくあります。ファイルが処理されない 正しく検証すると、一部の悪意のある攻撃者がウイルス、トロイの木馬、プラグインなどをサーバーにアップロードし、サーバー情報を盗み、さらにはサーバーをクラッシュさせる可能性があります。
したがって、アップロードされたファイルは検証する必要があります。多くのファイルの最初の数バイトは固定されています。したがって、これらの数バイトの内容に基づいて、ファイルの種類を判断できます。これらの数バイトは、マジックナンバーとも呼ばれます。
セットタイプのホワイトリスト
関連する推奨事項: Web サーバーのセキュリティ
以上がいくつかの一般的な Web セキュリティ リスクに対するソリューションを共有するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。