安全架构

XSS

是指跨站脚本攻击的缩写，是指是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

防御方法：字符串转义

SQL注入攻击

通过输入恶意的sql脚本达到删除、获取数据或获取库表结构的目的。

防御方法：正则匹配请求参数，顾虑可疑sql



CSRF

跨站请求伪造，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟XSS相比，XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任



防御方法：变换token、验证码、refer check