安全三要素:机密、完整、可用
客户端安全:浏览器安全、跨站点脚本攻击、跨站点请求伪造、点击劫持
image.png
反射型XSS
image.png
XSS cookie劫持
识别客户端浏览器
HttpOnly 只有浏览器可以使用
image.png
输入检查 htmlencode
富文本检查
CSRF:跨站点请求伪造
P3P:隐私首选项平台
防御CSRF:验证码\Referer Check
防御点击劫持:禁止iframe嵌套、X-Frame-Options
注入攻击
文件上传漏洞
认证与授权
加密
写操作用post
完整的CSRF方案
image.png
DDOS攻击
