web常見問題排查？

下面是常見的幾種web安全問題及解決方案，希望能對大家有所幫助。

1、跨站腳本攻擊（Cross Site Scripting）

解決方案

xss之所以會發生，是因為用戶輸入的數據變成了代碼，因此需要對用戶輸入的數據進行html轉義處理，將其中的“尖括號”，“單引號”，“雙引號”之類的特殊字符進行轉義編碼。

2、SQL注入

報錯時，盡量使用錯誤頁面覆蓋堆棧信息

3、跨站請求偽造（Cross-Site Request Forgery）

解決方案

（1）將cookie設置為HttpOnly

server.xml如下配置

1

<Context docBase="項目" path="/netcredit" reloadable="false" useHttpOnly="true"/>

web.xml如下配置

（2）增加token

表單中增加一個隱藏域，提交時將隱藏域提交，服務端驗證token。

（3）通過referer識別

根據Http協議，在HTTP頭中有一個字段交Referer，它記錄了HTTP請求的來源地址。如果攻擊者要實施csrf攻擊時，必須從其他站點偽造請求，當用戶通過其他網站發送請求時，請求的Referer的值是其他網站的網址。因此可以對每個請求驗證其Referer值即可。

4、文件上傳漏洞

在網上經常會操作，上傳圖片、文件到服務端保存，這時候，如果沒有對圖片文件做正確的校驗，會導致一些惡意攻擊者上傳病毒，木馬，外掛等等到服務器，竊取服務器信息，甚至導致服務器癱瘓。

因此需要對上傳的文件進行校驗，很多文件起始的幾個字節是固定的，因此，根據這幾個字節的內容，就可以判斷文件的類型，這幾個字節也被稱作魔數。