常见的网络攻击让直播源码开发的发展路越走越坎坷,开发技术的不断进步也让攻击方式跟上了脚步,平台需要面对很多之前没见过的攻击方式,比如XSS攻击、SQL注入、csrf攻击等,这些攻击方式应该用哪些手段防御呢?
一、XSS攻击 是指攻击者在直播源码开发上注入恶意的客户端代码,从而在用户使用软件进行访问时,获得用户隐私数据的一种行为,XSS可以分持久性和非持久型、基于DOM三种。 1、持久型,持久型XSS会把用户输入的数据储存在服务器端中,当直播源码开发请求数据时,脚本从服务器上传回并执行,这种攻击方式有很强的稳定性 2、非持久型,这种攻击方式只是简单的把用户输入的数据反射给直播源码开发,这往往需要用户点击指定的恶意链接才能实现,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站,这种攻击方式往往是单向一次性的 3、基于DOM,只在直播源码开发客户端发生的攻击,指客户端的恶意脚本可以修改的dom,不依赖于服务器端数据
二、CSRF攻击 也被成为跨站请求伪造,一般CSRF攻击是攻击者借助受害者的cookie骗取服务器的信任,可以在受害者不知情的情况下通过用户的名义伪造请求发送给受攻击的服务器,这一般发生在直播源码开发的PC端上,在未授权的情况下执行在权限保护下的操作。 三、防御手段 XSS的防御 ,输入检查对来自直播源码开发用户的输入进行检查、过滤、转义包括限制用户输入的内容的长度,限制服务器端存储的内容长度等;对输出内容进行检查;设置cookie的http-only。 CSRF的防御,请求时附带验证信息,直播源码开发服务器下发一个随机token,每次请求时将token带上,服务器验证token是否有效;禁止get请求更改数据;验证码在一些需要登陆的页面加入等。 声明:以上内容为云豹科技作者本人原创,未经作者本人同意,禁止转载,否则将追究相关法律责任 |
|