常见WEB攻击手段
- XSS （跨站脚本攻击) 【攻击者在 Web 页面中插入恶意脚本，当用户浏览页面时，促使脚本执行，从而达到攻击目的】
- DDos 分布式拒绝服务，【发送大量请求，使服务器瘫痪】
- CSRF 跨站请求伪造 【用户本地存储cookie，攻击者利用用户的cookie进行认证，然后伪造用户发出请求】

• SQL注入 【通过用户输入，拼接成恶意sql, 并执行】

  防御方式

• XSS

  1. 客服端及服务端用户的输入数据进行双重验证
  2. 对所有的数据进行适当的编码

  3. 设置 HTTP Header： “X-XSS-Protection: 1”

     • DDos

  4. 服务器加带宽（成本昂贵) 2. 使用DDos 防御产品，如云服务提供商的产品

     • CSRF
  5. 检查标准请求头 ，确认是否同源

  6. 检查CSRF token

     • sql 注入
       1, 预编译sql
       2，验证用户输入
       3，用户输入编码

参考文章

https://zhuanlan.zhihu.com/p/23309154
http://www.cnblogs.com/-new/p/7135814.html