SQL注入、XSS和CSRF指的是什么意思

共计 1124 个字符，预计需要花费 3 分钟才能阅读完成。

自动写代码机器人，免费开通

这篇文章主要介绍 SQL 注入、XSS 和 CSRF 指的是什么意思，文中介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们一定要看完！

SQL 注入

SQL 注入是属于注入式攻击，这种攻击是因为在项目中没有将代码与数据（比如用户敏感数据）隔离，在读取数据的时候，错误的将数据作为代码的一部分执行而导致的。

典型的例子就是当对 SQL 语句进行字符串拼接的时候，直接使用未转义的用户输入内容作为变量。这时，只要在 sql 语句的中间做修改，比如加上 drop、delete 等关键字，执行之后后果不堪设想。

说到这里，那么该怎么处理这种情况呢？三个方面：

1、过滤用户输入参数中的特殊字符，降低风险。

2、禁止通过字符串拼接 sql 语句，要严格使用参数绑定来传入参数。

3、合理使用数据库框架提供的机制。就比如 Mybatis 提供的传入参数的方式 #{}，禁止使用 ${}，后者相当于是字符串拼接 sql，要使用参数化的语句。

总结下，就是要正确使用参数化绑定 sql 变量。

XSS

XSS：跨站脚本攻击，Cross-Site Scripting，为了和前端的 css 避免重名，简称为 XSS，是指通过技术手段，向正常用户请求的 HTML 页面中插入恶意脚本，执行。

这种攻击主要是用于信息窃取和破坏等目的。比如 2011 年的微博 XSS 攻击事件，攻击者利用了微博发布功能中未对 action-data 漏洞做有效的过滤，在发布微博信息的时候带上了包含攻击脚本的 URL，用户访问就会加载恶意脚本，导致大量用户被攻击。

关于防范 XSS 上，主要就是通过对用户输入的数据做过滤或者是转义，可以使用框架提供的工具类 HtmlUtil。另外前端在浏览器展示数据的时候，要使用安全的 API 展示数据。比如使用 innerText 而不是 innerHTML。

CSRF

跨站请求伪造，在用户并不知情的情况下，冒充用户发送请求，在当前已经登录的 web 网站上执行恶意操作，比如恶意发帖，修改密码等。

大致来看，与 XSS 有重合的地方，前者是黑客盗用用户浏览器中的登录信息，冒充用户去执行操作。后者是在正常用户请求的 HTML 中放入恶意代码，XSS 问题出在用户数据没有转义，过滤；CSRF 问题出现在 HTTP 接口没有防范不守信用的调用。

防范 CSRF 的漏洞方式：

1、CSRF Token 验证，利用浏览器的同源限制，在 HTTP 接口执行前验证 Cookie 中的 Token，验证通过才会继续执行请求。

2、人机交互，例如短信验证码、界面的滑块。

以上是“SQL 注入、XSS 和 CSRF 指的是什么意思”这篇文章的所有内容，感谢各位的阅读！希望分享的内容对大家有帮助，更多相关知识，欢迎关注丸趣 TV 行业资讯频道！

向 AI 问一下细节

丸趣 TV 网 – 提供最优质的资源集合！