一、XSS 跨站脚本攻击(Cross Site Scripting):
1、指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
2、比如在可以输入的地方,输入脚本代码,如果存在漏洞,则其他用户在浏览或者点击时,就会执行该代码。
3、django自动开启自动转义,将输入的HTML,javascript原原本本的输出。如果想输出,则需对变量 | safe 处理。
4、测试脚本大全:http://www.cnblogs.com/dsky/archive/2012/04/06/2434768.html
5、攻击:
6、防范:
二、SQL注入:
1、通过把SQL命令插入到Web表单提交,或在进行“带有参数的动态页面请求”的页面插入命令,最终达到欺骗服务器执行恶意的SQL命令。
2、攻击:
3、防范:
三、CSRF 跨站请求伪造(Cross-site request forgery):
1、利用浏览器储存访问凭证(cookie等)的特点,诱使用户执行某些代码,从而改变服务器的数据。http://www.cnblogs.com/arlenhou/p/WebGoatCSRF.html
2、
3、防范:http://www.programgo.com/article/72421862882/
token会返回给用户html的form中,而攻击者通过用户发出的请求,只是带有cookie,并不能完成“请求---得到token”-----“提交-----同时提交token来验证”的这个过程