相信大家在各種技術(shù)文章都看到過SQL注入、XSS和CSRF這三個名詞，但是我覺得有一部分人可能并不清楚這三個詞的真正含義。接下來，我就說下這三個名詞的含義，希望對大家能有所幫助。

[[258087]]

SQL注入

SQL注入是屬于注入式攻擊，這種攻擊是因為在項目中沒有將代碼與數(shù)據(jù)(比如用戶敏感數(shù)據(jù))隔離，在讀取數(shù)據(jù)的時候，錯誤的將數(shù)據(jù)作為代碼的一部分執(zhí)行而導致的。

典型的例子就是當對SQL語句進行字符串拼接的時候，直接使用未轉(zhuǎn)義的用戶輸入內(nèi)容作為變量。這時，只要在sql語句的中間做修改，比如加上drop、delete等關(guān)鍵字，執(zhí)行之后后果不堪設想。

說到這里，那么該怎么處理這種情況呢?三個方面：

1、過濾用戶輸入?yún)?shù)中的特殊字符，降低風險。

2、禁止通過字符串拼接sql語句，要嚴格使用參數(shù)綁定來傳入?yún)?shù)。

3、合理使用數(shù)據(jù)庫框架提供的機制。就比如Mybatis提供的傳入?yún)?shù)的方式 #{}，禁止使用${}，后者相當于是字符串拼接sql，要使用參數(shù)化的語句。

總結(jié)下，就是要正確使用參數(shù)化綁定sql變量。

XSS

XSS：跨站腳本攻擊，Cross-Site Scripting，為了和前端的css避免重名，簡稱為XSS，是指通過技術(shù)手段，向正常用戶請求的HTML頁面中插入惡意腳本，執(zhí)行。

這種攻擊主要是用于信息竊取和破壞等目的。比如2011年的微博XSS攻擊事件，攻擊者利用了微博發(fā)布功能中未對action-data漏洞做有效的過濾，在發(fā)布微博信息的時候帶上了包含攻擊腳本的URL，用戶訪問就會加載惡意腳本，導致大量用戶被攻擊。

關(guān)于防范XSS上，主要就是通過對用戶輸入的數(shù)據(jù)做過濾或者是轉(zhuǎn)義，可以使用框架提供的工具類HtmlUtil。另外前端在瀏覽器展示數(shù)據(jù)的時候，要使用安全的API展示數(shù)據(jù)。比如使用innerText而不是innerHTML。

CSRF

跨站請求偽造，在用戶并不知情的情況下，冒充用戶發(fā)送請求，在當前已經(jīng)登錄的web網(wǎng)站上執(zhí)行惡意操作，比如惡意發(fā)帖，修改密碼等。

大致來看，與XSS有重合的地方，前者是黑客盜用用戶瀏覽器中的登錄信息，冒充用戶去執(zhí)行操作。后者是在正常用戶請求的HTML中放入惡意代碼，

XSS問題出在用戶數(shù)據(jù)沒有轉(zhuǎn)義，過濾;CSRF問題出現(xiàn)在HTTP接口沒有防范不守信用的調(diào)用。

防范CSRF的漏洞方式：

1、CSRF Token驗證，利用瀏覽器的同源限制，在HTTP接口執(zhí)行前驗證Cookie中的Token，驗證通過才會繼續(xù)執(zhí)行請求。

2、人機交互，例如短信驗證碼、界面的滑塊。

之前在會議上也有一個思考，在人機驗證這塊，如果不用驗證碼的方式，用界面上的滑塊這種方式，而且滑塊還是第三方的。在APP的注冊、登錄使用這種人機驗證的方式的話，如果第三方出現(xiàn)了問題，那么自己的APP就完全崩掉了，發(fā)版之后的APP什么也改不了。