跨站脚本攻击（XSS）

XSS（Cross-Site Scripting）攻击是指攻击者将恶意脚本注入到网页中，当用户访问该页面时，脚本被执行并可能窃取用户信息或执行其他恶意操作，常见的注入点：评论区，用户资料，搜索框，表单输入

攻击场景示例：

// （你需要渲染评论）不安全的代码
function renderUserComment(comment) {
  // 直接将用户输入插入DOM
  document.getElementById('comments').innerHTML = comment;
}

攻击者可以提交

<script>alert('XSS');</script>

防范 XSS 的措施包括:

• 对所有用户输入进行严格的转义和过滤，确保不会注入恶意脚本
• 使用 Content-Security-Policy （CSP） 头，限制页面加载的资源，减少 XSS 攻击的可能性
• 对 Cookie 和其他敏感信息进行 HttpOnly 和 Secure 设置，防止被 XSS 攻击窃取
• 对页面进行定期扫描和测试，发现并修复 XSS 漏洞

跨站请求伪造（CSRF）

CSRF （Cross-Site Request Forgery）攻击是指利用用户的登录状态，诱导用户执行未经授权的操作。防范 CSRF 的措施包括:

• 在表单中添加随机 CSRF 令牌，并在服务端验证该令牌
• 对于敏感操作，要求用户进行二次确认或验证，如短信验证码
• 对 Cookie 进行 SameSite 设置，限制 Cookie 在跨域请求中的使用
• 对 HTTP 方法进行严格的验证和限制，如仅允许 GET 请求查询数据，POST 请求修改数

DNS 劫持

DNS 劫持是指攻击者篡改 DNS 服务器，使得用户访问合法网站时被引导到恶意网站。防范 DNS 劫持的措施包括:

• 使用 HTTPS 协议，确保网站连接的安全性。即使 DNS 被劫持，也无法窃取用户的敏感信息
• 使用公共 DNS 服务，如 Google DNS 或 Cloudflare DNS，它们通常更安全可靠
• 定期检查 DNS 解析记录，发现异常及时修复
• 为关键系统设置 IP 白名单，防止受到 DNS 劫持的影响

SQL 注入

SQL 注入是指攻击者通过篡改用户输入的数据，注入恶意的 SQL 语句，从而获取数据库中的敏感信息或执行未授权的操作。防范措施包括:

• 对所有用户输入进行严格的校验和过滤，避免将未经处理的数据直接拼接到 SQL 语句中
• 使用参数化查询或预编译语句，将用户输入与 SQL 语句的逻辑部分分离
• 对数据库账号进行权限管理，尽量使用最小权限原则
• 定期对应用程序进行渗透测试和代码审计，发现并修复 SQL 注入漏洞
• 保持数据库版本及时更新，修复已知的 SQL 注入漏洞

DDos 攻击

DDoS（Distributed Denial of Service）攻击是指攻击者利用大量的恶意请求，试图耗尽服务器或网络资源，导致目标系统无法提供正常服务。防范措施包括:

• 使用云服务商提供的 DDoS 防护服务，如 AWS Shield、Azure DDoS 防护等，可以有效抵御大规模 DDoS 攻击
• 在应用程序层面进行请求验证和限流，防止恶意请求占用过多资源
• 监控服务器和网络的运行状况，及时发现异常情况并采取相应措施
• 制定完善的 DDoS 事件响应计划，包括流量转移、紧急扩容等应急措施
• 保持系统软件及时更新，修复可能被利用进行 DDoS 攻击的漏洞