いくつかの一般的な Web セキュリティ リスクに対するソリューションを共有する

次に、Web セキュリティに関する一般的な問題と解決策をいくつか示します。皆様のお役に立てれば幸いです。

1. クロスサイトスクリプティング

解決策

xss は、ユーザーが入力したデータがコードになるために発生するため、ユーザーが入力したデータに対して HTML エスケープ処理を実行する必要があります。 、「山括弧」、「一重引用符」、「二重引用符」などの特殊文字をエスケープしてエンコードします。

2. SQL インジェクション

エラーを報告するときは、エラー ページを使用してスタック情報を上書きしてみてください

3. クロス-サイト リクエスト フォージェリ (クロスサイト リクエスト フォージェリ)

解決策

(1) Cookie を HttpOnly に設定します

server.xml は次のように構成されています

<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>

web.xml は次のように構成されています

(2) トークンの追加

フォームに隠しフィールドを追加し、送信時に隠しフィールドを送信します。そしてサーバーはトークンを検証します。

(3) リファラーによる識別

HTTP プロトコルによると、リファラーに送信される HTTP ヘッダーには、HTTP リクエストの送信元アドレスを記録するフィールドがあります。攻撃者が CSRF 攻撃を実装したい場合は、他のサイトからのリクエストを偽造する必要があります。ユーザーが別の Web サイト経由でリクエストを送信する場合、リクエストされた Referer の値は他の Web サイトの URL になります。したがって、リクエストごとに Referer 値を確認できます。

4. ファイル アップロードの脆弱性

私たちは、インターネット上で写真やファイルをサーバーにアップロードして保管することがよくあります。ファイルが処理されない 正しく検証すると、一部の悪意のある攻撃者がウイルス、トロイの木馬、プラグインなどをサーバーにアップロードし、サーバー情報を盗み、さらにはサーバーをクラッシュさせる可能性があります。

したがって、アップロードされたファイルは検証する必要があります。多くのファイルの最初の数バイトは固定されています。したがって、これらの数バイトの内容に基づいて、ファイルの種類を判断できます。これらの数バイトは、マジックナンバーとも呼ばれます。

セットタイプのホワイトリスト

関連する推奨事項: Web サーバーのセキュリティ

以上がいくつかの一般的な Web セキュリティ リスクに対するソリューションを共有するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。