1. XSS

说明：

XSS攻击的全名是“跨站点脚本”，不要与“层叠样式表（CSS）”的缩写混淆，因此跨站点脚本攻击的缩写为“ XSS”。

XSS简单地分为反射类型和存储类型（DOM类型是一种反射类型），本质上是HTML注入。简单来说，就是以某种方式强迫受害者（用户）信任脚本（或网站）。 ），这反过来又允许攻击者的代码在客户端上执行所需的任何操作。

常见的，例如各种网络钓鱼网站，网络钓鱼电子邮件或最简单的页面脚本注入等。

带栗子：

带栗子：

如果您构建类似的形状

这样的URL，然后当用户访问该URL时，将执行该脚本中的脚本，并且由于该域是受信任的网站，因此可以正常获取用户的敏感信息。

由于其独特的功能，这种注入形式可以被许多浏览器过滤掉。

带栗子：

如果未验证用户输入，则会在数据库中存储以下数据：

），或带有执行脚本的图片文件（

）。

注意事项：

防御XSS的最困难部分是其入口点的多样性，尤其是在业务量巨大的情况下，试图滤除XSS的所有注入点确实非常耗时且费力。

一般来讲，最基本的预防措施：

防止XSS的核心是记住一个句子：

所有输入都是有害的。

2. CSRF

说明：

CSRF（跨站点请求伪造）跨站点请求伪造，也称为“一键攻击”或“会话骑马”，通常缩写为CSRF或XSRF，是对网站的恶意使用。虽然听起来像跨站点脚本XSS，但它与XSS尤其不同。 XSS依赖于站点内的受信任用户，而CSRF则通过掩盖来自可信用户的请求来依赖于受信任的网站。与XSS攻击相比，CSRF通常不进行攻击。流行（因此，用于阻止它的资源非常少见）且无法阻止，因此，它被认为比XSS更为危险。

CSRF的根本原因是服务器过于信任用户的身份或身份验证机制不健全。

CSRF可以将XSS用作有效负载，以在用户不知情的情况下获取受害者（用户）的真实信息（cookie等），从而使用真实信息向服务器发起请求。

带栗子：

如果工作站以cookie的形式在客户端中记录session_id，并且每个提交都使用session_id作为用户标识的基础，那么当用户登录时，攻击者只需通过上述介绍即可。 XSS的形式，欺骗或指导用户执行以下代码来获取此关键session_id：

var sid = $ .cookie（'session_id'）; //获取用户信息$ .POST（'/ attacker url'，sid）;

攻击者获得session_id之后，他可以使用该session_id来伪造用户并在身份的有效期内执行各种操作。当服务器的身份验证方法不完善时，这种操作方法可能是致命的。

p>

注意事项：

由于无法在客户端预测CSRF，因此防御方法主要集中在服务器端。

3. DDoS

说明：

DDoS是拒绝服务的缩写，即拒绝服务。导致DDoS的攻击称为DDoS攻击，其目的是防止计算机或网络提供常规服务。最常见的DDoS攻击是计算机网络带宽攻击和连接攻击。

DDoS攻击是指故意利用网络合同实现中的缺陷或直接使用野蛮手段残酷耗尽受攻击对象的资源，目的是使目标计算机或网络无法提供正常的服务或访问权限对于资源，使目标系统服务系统停止响应甚至崩溃，并且此攻击不包括入侵目标服务器或目标网络设备。这些服务资源包括网络带宽，文件系统空间容量，打开的进程或允许的连接。无论计算机的处理速度，内存容量或网络带宽有多快，这种攻击都将导致资源短缺。

最直接的例子是过去几年春节期间的12306。当访问用户太多时，服务器将无法处理它，只能将其关闭。

这种攻击形式的危害在于，不仅会导致过载的服务器宕机，还会由于异常流量导致服务器IP被运营商阻塞，从而导致该IP下的所有服务器在一段时间内不可用。

注意事项：

此方法针对服务器本体。一些云服务提供商已推出了一些灾难恢复措施，这些措施声称能够抵御XXGB攻击。实际上，它只是分布式灾难恢复。如果有人使用DDoS付费，则基本上没有办法攻击您的服务器。