wp网站建设教程,网站建设公司 选中企动力公司,郴州网警,视频网站设计目录
一、Http协议详解#xff0c;http请求方式#xff0c;http状态码
Http协议详解#xff1a;
http请求方式#xff1a;
http状态码#xff1a;
常用的状态码#xff1a;
其他常用状态码#xff1a;
二、Http常见请求方式
三、Http协议与TCP协议的区别和联系 …目录
一、Http协议详解http请求方式http状态码
Http协议详解
http请求方式
http状态码
常用的状态码
其他常用状态码
二、Http常见请求方式
三、Http协议与TCP协议的区别和联系
四、Http发展历史
五、Http/2对比Http/1.1特性是什么是如何解决对头阻塞与压缩头部的
六、说一下Http/3新特性为什么选择UDP协议
七、有关HTTP缓存的首部字段说一下
八、Http中keep-alive有了解吗它和多路复用的区别
1、Http/1.x keep-alive是什么
2、Http/2多路复用
3、Http/1.x的keep-alive和Http/2多路复用的区别都有哪些
九、Http header如何判断协议是不是websocket
1、websocket由来
2、websocket协议
十、GET与POST区别是什么
十一、session和cookie的区别
1、什么是cookie
2、什么是session
3、session和cookie的区别
十二、为什么说Https比Http安全呢
十三、常见的网络攻击方式有哪些
1、CSRF攻击
2、XSS攻击
3、SQL注入
4、上传文件攻击
5、DNS查询攻击 一、Http协议详解http请求方式http状态码 Http协议详解
全称Hyper Text Transfer Protocol即超文本传输协议是互联网上应用最为广泛的一种网络传输协议。
是一个无状态的应用层协议即不会保存客户端与服务器之间的历史记录每个请求都是独立的。其主要特点如下
基于请求响应模式基于文本传输支持多媒体传输无连接 http请求方式
get、post常用的 http状态码
1xx信息性状态码表示请求已经被接收继续处理。
2xx成功状态码表示请求已经被成功接收、理解和处理。
3xx重定向状态码表示需要进行额外操作才能完成请求。
4xx客户端错误状态码表示客户端发送的请求有误服务器无法处理。
5xx服务器错误状态码表示服务器在处理请求时发生了错误。
常用的状态码
200OK表示请求成功
400Bad Request表示客户端发送的请求有语法错误
401Unauthorized表示请求需要用户进行身份验证
403Forbidden表示服务器拒绝请求没有权限访问
404Not Found表示请求的资源不存在
500Internal Server Error表示服务器内部错误
502Bad Gateway表示服务器作为网关或代理从上游服务器接收到无效的响应
503Service Unavailable表示服务器当前无法处理请求一般是由于过载或者维护导致
其他常用状态码
100Continue表示服务器已经接收到请求的头部并且客户端应该继续发送请求的主体部分
101Switching Protocols表示服务器已经理解了客户端的请求并且将切换到不用的协议来完成请求
201Created表示请求已成功并且服务器创建了新的资源
202Accepted表示服务器已接受请求单尚未处理完成
204No Content表示请求已成功但服务器没有返回任何内容
301Moved Permanently表示请求的资源已临时移动到新的URL
302Found表示请求的资源已临时移动到新的URL
304Not Modified表示请求的资源未被修改可以直接使用缓存的版本 二、Http常见请求方式
GET 方法请求一个指定资源的表示形式. 使用GET的请求应该只被用于获取数据POST 方法用于将实体提交到指定的资源通常导致状态或服务器上的副作用的更改HEAD 方法请求一个与GET请求的响应相同的响应只返回请求头没有响应体多数由 JavaScript 发起PUT 方法用请求有效载荷替换目标资源的所有当前表示DELETE 方法删除指定的资源CONNECT 方法建立一个到由目标资源标识的服务器的隧道多用于 HTTPS 和 WebSocket OPTIONS 方法预检用于描述目标资源的通信选项。通过该请求来知道服务端是否允许跨域请求TRACE 方法沿着到目标资源的路径执行一个消息环回测试多数线上服务都不支持PATCH 方法用于对资源应用部分修改。 三、Http协议与TCP协议的区别和联系
OSI网络分层7层
全称Open System Interconnection 开放系统互联 TCP、UDP都是传输层协议
TCP建立连接需三次握手断开连接需四次挥手
建立连接三次握手如下图 断开连接四次挥手如下图 Http
http是建立在TCP上的应用层协议超文本传输协议。
http最显著的特点是客户端发送的每次请求都需要服务器回送响应在请求结束后会主动释放连接。从建立连接到关闭连接的过程称为“一次连接”。
特点 无状态协议对客户端没有状态存储对事物处理没有记忆能力比如访问一下哎完整需要返回进行登录操作无连接Http/1.1之前由于无状态特点每次请求需要通过TCP三次握手四次挥手和服务器重新建立连接。基于请求和响应由客户端发起请求服务端响应简单快速、灵活通信使用明文请求和响应不会对通信方进行确认、无法保护数据的完整性。 Http与TCP区别 Http对应于应用层TCP协议对应于传输层Http协议是在TCP协议之上建立的HTTP在发起请求时通过TCP协议建立起连接服务器的通道请求结束后立即断开TCP连接Http是无状态的短连接TCP是有状态的长连接TCP是传输层协议定义的是数据传输和连接方式的规范HTTP是应用层协议定义的是传输数据的内容的规范。 四、Http发展历史
http1.0 :客户端的每次请求都要求建立一次单独的连接在处理完本次请求后就自动释放连接
http1.1 可以在一次连接中处理多个请求并且多个请求可以重叠进行不需要等待一个请求结束后就可以再发送一个新的请求
http2.0 支持多路复用一个 TCP 可同时传输多个 http 请求头部数据还做了压缩
http3.0 使用了 QUIC开启多个 TCP 连接在出现丢包的情况下只有丢包的 TCP 等待重传剩余的 TCP 连接还可以正常传输数据
五、Http/2对比Http/1.1特性是什么是如何解决对头阻塞与压缩头部的
Http/1.1是1997年发布。为了性能考虑会引入雪碧图将小图内联使用多个域名等方式但是还是有以下的关键点无法优化
Http/1.1协议的性能缺陷 高延迟页面访问速度下降 明文传输不安全 无状态头部巨大切重复 不支持服务器推送 Http/2是2015年发布。有如下特点
Http/2特点 二进制传输 Header 压缩HPACK 多路复用 服务端 Push 提高安全性 Http/2遗留问题 存在队头阻塞问题比如丢包 慢启动建立连接时间长 六、说一下Http/3新特性为什么选择UDP协议
Http3是超文本传输协议的最新主要版本其显著特点是放弃了传统的TCP协议作为传输层协议转而采用基于UDP的QUIC协议以下是其关键特性 低延迟多路复用连接迁移更快的错误恢复安全设计拥塞控制优化 为什么选择UDP协议
说白了其实是为了解决Http/1和Http/2在性能和效率上的问题。
引入UDP主要原因有两个一是为了提高性能二是为了实现更好的网络适应性。
在Http/3之前Http传输协议使用的是TCP作为传输层协议。然后随着互联网的发展TCP的性能瓶颈逐渐显现出来TCP的性能瓶颈主要在于其握手过程和重传机制而UDP的底层协议就是大名鼎鼎的QUIC协议一个运行在传输层的协议。QUIC通过改进这些机制实现了更高的性能。此外UDP在网络适应性上也有优势因为他可以更好的处理网络波动和丢包问题。
QUIC协议之所以能提供更好的性能其中一个重要的原因就是它实现了快速握手和连接迁移。
快速握手
在TCP中建立连接需要三次握手相比之下QUIC协议中需要一次握手就可以建立连接。
在QUIC中客户端发送一个包含客户端初始信息的包给服务器服务器收到后会立即回复一个包含服务器初始信息的包。这样QUIC连接就建立成功了。
连接迁移
在TCP中如果客户端想要从一个服务器切换到另一个服务器就需要先断开原来的连接然后再重新建立一个新的连接。这个过程被称为“连接迁移”。
在QUIC中客户端可以无缝的从一个服务器切换到另一个服务器而不需要断开原来的连接。这个过程被称为“连接迁移”。QUIC的连接迁移是通过在客户端和服务器之间维护一个全局的状态来实现的。当客户端想要切换到另一个服务器时它会向新的服务器发送一个包含当前连接状态信息的包新的服务器收到后就可以立即开始处理客户端的请求。 七、有关HTTP缓存的首部字段说一下
常见的HTTP缓存首部字段有 Expires响应头代表该资源的过期时间 Cache-Control请求/响应头缓存控制字段精确控制缓存策略 If-Modified-Since请求头资源最近修改时间由浏览器告诉服务器 Last-Modified响应头资源最近修改时间由服务器告诉浏览器 Etag响应头资源标识由服务器告诉浏览器 If-None-Match请求头缓存资源标识由浏览器告诉服务器 强缓存 ExpiresHTTP/1.0 Cache-ControlHTTP/1.1优先级比较高 协商缓存 Last-Modified 和 If-Modified-SinceHTTP/1.0 ETag 和 If-None-MatchHTTP/1.1 浏览器缓存机制的关键
浏览器每次发起请求都会先在浏览器缓存中查找该请求的结果以及缓存标识浏览器每次从服务器端拿到返回的请求结果都会将该结果和缓存标识存入浏览器缓存中。
前端根据是否需要向服务器重新发起HTTP请求将缓存过程分为两个部分分别是
强缓存向浏览器缓存查找该请求结果并根据该结果的缓存规则来决定是否使用该缓存结果的过程协商缓存强缓存失效后浏览器携带缓存标识向服务器发起请求由服务器根据缓存标识决定是否使用缓存的过程。 八、Http中keep-alive有了解吗它和多路复用的区别
1、Http/1.x keep-alive是什么
Http协议是建立在TCP协议上的应用层协议通信方式采取简单的请求-应答模式即客户端与服务器端的每次请求都需要创建TCP连接服务器响应后断开TCP连接再次请求再次创建断开这种频繁的创建、断开会带来极大的性能消耗。而且TCP的创建和断开连接的成本很高每次都需要三次握手四次挥手。
所以Http/1.0引入了keep-alive长连接可以通过Connectionkeep-alive开启在Http/1.1默认是开启的。
所谓keep-alive长连接即在Http请求建立TCP连接时请求结束TCP连接不断开继续保持一段时间timeout在这段时间内同一客户端向服务器发送请求都会复用该TCP连接并重置timeout时间计数器在接下来timeout时间内还可以继续复用TCP。这样省略了反复创建和销毁TCP连接带来的损耗。
注timeout时间到了之后TCP也不会立即断开连接。若两小时timeout没有收到客户的数据服务器就发送一个探测报文段以后则每隔 75 秒发送一次。若一连发送 10 个探测报文段后仍无客户的响应服务器就认为客户端出了故障接着就关闭这个连接。
2、Http/2多路复用 为什么Http/2引入多路复用 这是因为
Http/1.x虽然引入了keep-alive长连接但他每次请求必须等待上一次响应之后才能发起所以所以在Http/1.1中提出了管道机制默认不开启下一次的请求不需要等待上一个响应来之后再发送但这要求服务端必须按照请求发送的顺序返回响应当顺序请求多个文件时其中一个请求因为某种原因被阻塞时在后面排队的所有请求也一并被阻塞这就会造成队头阻塞问题Head-of-line Blocking人们采取了很多方法去解决例如使用多个域名引入雪碧图将小图内联等但都没有从根本上解决问题。 Http/2是怎么做的呢 因为Http/1.x是基于文本传输这就导致了它必须是哥整体在传输时是不可切割的只能整体去传而Http/2是基于二进制流它引入了帧frame和流stream它就可以把Http消息分解为独立的帧交错发送然后在另外一端通过帧中的标识重新组装这就是多路复用这样一来就实现了在同一个TCP连接中同一时刻可以发送多个请求和响应且不用按照顺序一一对应即使莫哥请求任务耗时严重也不会影响到其它连接的正常执行。
3、Http/1.x的keep-alive和Http/2多路复用的区别都有哪些
总结起来包含如下几点 Http/1.x是基于文本的只能整体去传Http/2是基于二进制流可以分解为独立的帧交错发送Http1.x的keep-alive必须按照请求发送的顺序返回响应Http/2多路复用不按顺序响应Http1.x的keep-alive为了解决对头阻塞问题将同一个页面的资源分散到不同域名下开启了多个TCP连接Http/2同域名下所有通信都在单个连接上完成Http1.x的keep-alive单个TCP连接在同一时刻只能处理一个请求两个请求的生命周期不能重叠Http/2单个TCP同一时刻可以发送多个请求和响应。 九、Http header如何判断协议是不是websocket
http通过判断headerrequest header和response header中是否包含ConnectionUpgrade与Upgradewebsocket来判断当前协议是否需要升级到websocket。
1、websocket由来
在websocket之前如果客户端和服务器之间双向通信需要通过Http轮询来实现Http轮询分为轮询和长轮询
其中轮询是指浏览器通过JS启动一个定时器然后以固定的时间间隔给服务器发送请求询问服务器有没有新消息这种方式的缺点
实时性不够频繁的请求会给服务器带来极大的压力
长轮询是指浏览器发送一个请求时服务器先拖一段时间等到有消息了再回复。这个机制暂时的解决了实时性问题但是它带了新的问题
以多线程模式运行的服务器会让大部分线程大部分时间都处于刮起状态极大的浪费服务器资源一个Http连接在长时间没有数据传输的情况下链路上的任何一个网关都可能关闭这个连接而网关如何运作我们前端控制不了。
因此HTML5新增了websocket协议能够在浏览器和服务器之间建立一个不受限制的双向通信的通道。 为什么websocket连接可以实现全双工通信而Http连接不行呢 实际上Http协议是建立在TCP协议之上的TCP协议本身就实现了全双工通信但是Http协议的请求-应答模式限制了全双工通信。websocket连接建立起来以后其实只是简单规定了 一下接下来咱们通信就不使用Http协议了直接互相发数据吧。 websocket的优点 较少的控制开销在连接创建以后服务器和客户端之间交换数据时用于控制协议的数据包头部相对较小更强的实时性由于协议时全双工的所以服务器可以随时主动给客户端下发数据保持连接状态与Http不同的是websocket需要先创建连接这就使其成为一种有状态的协议之后通信可以省略部分状态信息更好的二进制支持websocket定义了二进制帧相对Http可以更轻松的处理二进制内容 2、websocket协议
websocket使用ws或者wss的统一资源标识符其中wss表示使用了TLS的websocket。 ws:// 数据不是加密的对于任何中间人来说其数据都是可见的。 wss:// 是基于 TLS 的 WebSocket类似于 HTTPS 是基于 TLS 的 HTTP传输安全层在发送方对数据进行了加密在接收方进行解密 测试地址https://www.websocket.org/echo.html
除此之外它还包含Sec-WebSocket-Key 、 Sec-WebSocket-Version 等header当服务器同意 WebSocket 连接时返回响应码 101 它的 API 很简单。包含如下API
方法 socket.send(data) socket.close([code], [reason])
事件 open message error close 十、GET与POST区别是什么
GET 与 POST 的本质区别有两点 1、请求行不同 GETGET /uri HTTP/1.1POSTPOST /uri HTTP/1.1 2、对服务器资源的操作不同 GET表示从服务器获取资源POST向指定的服务器资源提交数据通常导致状态或服务器上的副作用的更改 主要区别汇总
GETPOST后退按钮/刷新无害数据会被重新提交浏览器会告知用户缓存能被缓存不能缓存编码类型application/x-www-form-urlencodedapplication/x-www-form-urlencoded或multipart/form-data。为二进制数据使用多重编码历史参数保留在浏览器历史中参数不会保存在浏览器历史中对数据长度的限制当发送数据时GET方法向URL添加数据URL长度限制在2M以内 无限制 对数据类型的限制只允许ASCII字符没有限制也允许二进制数据安全性与POST相比GET安全性较差因为所发送的数据时URL的一部分。在发送密码或其他敏感信息时绝不要使用GET方法POST比GET更安全因为参数不会被保存在浏览器历史或者web服务器日志中可见性数据在URL中对所有人都是可见的数据不会显示在URL中 十一、session和cookie的区别
1、什么是cookie
因为http是无状态的协议每个请求都是完全独立的服务端无法确认当前访问者的身份信息无法分辨上一次的请求发送者和这一次的发送者是否为同一个人。所以服务器与浏览器为了进行会话跟踪就必须主动的去维护一个状态这个状态用于告知服务端前后两个请求是否来自同一个浏览器。而这个状态需要通过cookie或者session去实现。
cookie存储在客户端cookie是服务器发送到用户浏览器并保存在本地的一小块数据它会在浏览器下次向同一服务器再次发起请求时被携带并发送到服务器上。
cookie时不可跨域的每个cookie都会绑定单一的域名无法在别的域名下获取使用一级域名和二级域名之间时允许共享使用的靠的是domain。
cookie的重要属性
属性说明namevalue设置domain指定cookie所属域名默认是当前域名path指定cookie在哪个路径下生效默认是“/”。如果设置为/abc则只有/abc下的路由可以访问到该cookie如/abc/readmaxAge cookie失效的时间单位秒。 如果为整数该cookie在maxAge秒后失效。 如果为负数该cookie为临时cookie关闭浏览器即失效浏览器也不会以热河形式保存该cookie。 如果为0表示删除该cookie。 默认为-1。 比expires好用。 expires 过期时间。 在设置的某个时间点后该cookie就会失效。 一般浏览器的cookie都是默认存储的当关闭浏览器结束这个会话的时候这个cookie也就会被删除。 secure 该cookie是否仅被使用安全协议传输。 安全协议有HttpsSSL等在网络上传数据之前先将数据加密。 默认为false。 当secure为true时cookie在Http中是无效的在Https中才是有效的。 httpOnly设置该属性的情况下浏览器将禁止通过JavaScript访问和修改cookie但是还是能通过Application中手动修改cookie可以在一定程度上预防XSS攻击。 2、什么是session
session是一种记录服务器和客户端会话状态的机制session是基于cookie实现的session存储在服务器端sessionId会被存储到客户端的cookie中。
3、session和cookie的区别 安全性 Session 比 Cookie 安全Session 是存储在服务器端的Cookie 是存储在客户端的。 存取值的类型不同Cookie 只支持存字符串数据想要设置其他类型的数据需要将其转换成字符串Session 可以存任意数据类型。 有效期不同 Cookie 可设置为长时间保持比如我们经常使用的默认登录功能Session 一般失效时间较短客户端关闭默认情况下或者 Session 超时一般30分钟无操作都会失效。 存储大小不同 单个 Cookie 保存的数据不能超过 4KSession 可存储数据远高于 Cookie但是当访问量过多会占用过多的服务器资源。 十二、为什么说Https比Http安全呢
Http协议使用起来简单方便但是它存在一个致命的缺点不安全。
Https并非是应用层的一种新协议Https其实是Http SSL/TLS的简称。 HTTP 和 HTTPS 的区别 HTTP 是超文本传输协议信息是明文传输HTTPS 则是具有安全性的TLSSSL加密传输协议 HTTP 和 HTTPS 使用的是完全不同的连接方式用的端口也不一样前者是80后者是443 HTTP 的连接很简单是无状态的HTTPS协议是由 HTTPSSL/TLS 协议构建的可进行加密传输、身份认证的网络协议比 HTTPS 协议安全。 十三、常见的网络攻击方式有哪些
常见的攻击方式包含 CSRF攻击 XSS 攻击 SQL 注入攻击 上传文件漏洞 DNS 查询攻击 1、CSRF攻击
Cross-site request forgery跨站请求伪造简称CSRF攻击是指攻击者诱导受害者进入第三方网站在第三方网站中向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证绕过后台的用户验证达到冒充用户对被攻击的网站执行某项操作的目的。
攻击流程如下 受害者登录 http://a.com 并保留了登录凭证Cookie 攻击者引诱受害者访问了 http://b.com http://b.com 发送了一个请求http://a.com/actxx 。浏览器会默认携带 http://a.com 的Cookie。 http://a.com 接收到请求后对请求进行验证并确认是受害者的凭证误以为是受害者自己发送的请求。 http://a.com 以受害者的名义执行了actxx。 攻击完成攻击者在受害者不知情的情况下冒充受害者让 http://a.com 执行了自己定义的操作。 一个真实的案例用户 David 在自己邮箱内点击了黑客恶意伪装的链接。黑客在点击的链接里冒充用户(cookie)向 Gmail 服务器发送邮件自动转发请求导致 David 的邮件都被自动转发到了黑客的邮箱从而被黑客利用盗取了用户数据。 几种常见的攻击方式 自动发起 GET 请求的 CSRF 自动发起 POST 请求的 CSRF 引诱用户点击链接的 CSRF 防护策略 利用cookie的SameSite属性将SameSite属性设置为Strict和LaxStrict表示浏览器完全禁止第三方拿到cookieLax相对宽松在跨站的情况下从第三方站点的连接打开或Get方式的表单提交这两种方式都会携带cookie除此之外如Post请求、img、iframe、等加载的URL都不会携带cookie利用同源策略在Http的每个异步请求都会携带两个header用于标记来源域名Referer 和 Origin 既然CSRF大多来自第三方那么我们就直接禁止外域对我们发起请求。Token认证前面讲到CSRF的另一个特征是攻击者无法直接窃取到用户的信息仅仅是冒用cookie中的信息所以我们可以启用token认证。在用户登录时服务器生产一个Token返回给用户在浏览器端向服务器发起请求时带上token服务器验证token。 利用同源策略 时可以参考下图服务器先判断Origin如果请求头中没有包含Origin属性再根据实际情况判断是否使用Refer的值看是否时同源策略 Refere记录该请求的来源地址含URL路径 Origin记录该请求的域名信息不含URL路径 实现一个CSRF攻击可以参考
https://github.com/sisterAn/web-safe
2、XSS攻击
全称Cross Site Scripting跨站脚本攻击为了与CSS区别开来故简称XSS。
XSS攻击是指往页面恶意的注入脚本代码。当用户浏览该页面时嵌入其中的Script代码会被执行从而达到恶意攻击用户的目的。
当页面被注入了恶意的JS脚本时浏览器时无法区分这些脚本是否是被恶意注入的还是正常的页面脚本所以恶意注入的JS脚本也拥有所有的脚本权限它可以拿到 Cookie信息document.cookie获取cookie信息然后通过XMLHttpRequest或Fetch加上CORS功能将数据发送给恶意服务器监听用户行为通过addEventListener监听用户行为获取用户输入的银行卡支付密码等信息更改DOM结构伪造登录、输入支付密码等窗口获取用户私密信息在页面内生成浮窗广告劫持流量实现恶意跳转。 XSS是如何注入的其中常见的主要分为 存储型XSS攻击反射型XSS攻击基于DOM的XSS攻击 存储型XSS攻击
指的是黑客利用站点漏洞将一段恶意JS代码提交到网站的数据库中存储当用户访问网站的时候网站将恶意脚本同正常页面一起返回浏览器解析执行了网站中的恶意脚本将用户的Cookie信息等数据上传到恶意服务器。 反射型XSS攻击
是指黑客通过特定的手段例如电子邮件等诱导用户去访问一个包含恶意脚本的URL当用户访问这个带有恶意脚本的URL时网站又把恶意JS脚本返回给用户执行。
基于Dom的XSS攻击
是指通过恶意脚本修改页面的DOM结构是纯粹发绳在客户端的攻击。
此类攻击取出和执行恶意代码由浏览器完成输入前端JS自身的安全漏洞。 总结
存储型 XSS 持久化代码是存储在服务器中的
反射型 XSS 非持久化需要欺骗用户自己去点击链接才能触发 XSS 代码服务器中没有这样的页面和内容一般容易出现在搜索页面
基于 DOM 的 XSS 不经过后端纯粹发生在客户端的攻击属于前端 JavaScript 自身的安全漏洞 如何阻止XSS攻击 过滤特殊字符或对特定字符进行编译转码 对重要的 cookie 设置 httpOnly URLEncode 操作 Web 安全头支持 浏览器自带的防御能力一般是通过开启 Web 安全头生效的。具体有以下几个
CSP W3C 的 Content Security Policy简称 CSP主要是用来定义页面可以加载哪些资源减少 XSS 的发生。要配置 CSP , 需要对 CSP 的 policy 策略有了解具体细节可以参考 CSP 是什么。X-Download-Options: noopen 默认开启禁用 IE 下下载框 Open 按钮防止 IE 下下载文件默认被打开 XSS。X-Content-Type-Options: nosniff 禁用 IE8 自动嗅探 mime 功能例如 text/plain 却当成 text/html 渲染特别当本站点 server 的内容未必可信的时候。X-XSS-Protection IE 提供的一些 XSS 检测与防范默认开启
3、SQL注入
主要是后端进行对SQL注入攻击的防护常见的防护机制有
使用 preparestatement 预编译机制 在sql语句执行前对其进行语法分析、编译和优化其中参数位置使用占位符 ? 代替了。当真正运行时传过来的参数会被看作是一个纯文本不会重新编译不会被当做sql指令特殊字符转义 些特殊字符比如%作为like语句中的参数时要对其进行转义处理使用代码检测工具 使用sqlMap等代码检测工具它能检测sql注入漏洞数据库账号增加权限控制、数据库异常监控等等
4、上传文件攻击
如果web网站没有对文件类型进行严格的校验导致可执行文件被恶意上传到了服务器恶意脚本就会执行。
如何防御上传文件攻击 文件上传后放到独立的存储上做静态文件处理杜绝脚本执行的可能对上传文件类型进行白名单校验使用随机数改写文件名和文件路径等等 5、DNS查询攻击
就是攻击者通过精心构造 DNS报文 在 DNS 查询解析某个域名时冒充真正的权威 DNS 做出回应使得用户访问得到一个虚假响应。一旦本地接受了这个虚假响应并写入缓存DNS 就会被攻击用户也不清楚自己正在访问错误的地址或数据。
如何防御这种攻击
关于防御的话就是限制DNS解析器仅响应来自可信源的查询或者关闭DNS服务器的递归查询等。
