$ cat Web安全基础.md
Web 安全基础
TIMESTAMP: 2026-05-02 09:00:00
READ_TIME: 1min
#security#web#basics
web-security scan
安全是功能的基石。
常见攻击类型
XSS(跨站脚本)
注入恶意脚本:
[!error] 危害 窃取用户数据、劫持会话。
防护措施:
javascript
// 使用框架自动转义
// 避免直接 innerHTML
element.textContent = userInput;CSRF(跨站请求伪造)
伪造用户请求:
- 添加 CSRF Token[1]
- 验证 Referer 头
- SameSite Cookie 属性
SQL 注入
恶意 SQL 语句:
javascript
// 错误做法
const sql = `SELECT * FROM users WHERE id = ${id}`;
// 正确做法:使用参数化查询
const sql = 'SELECT * FROM users WHERE id = ?';安全原则
- 最小权限原则
- 输入验证
- 输出编码
SECURITY SCAN COMPLETE.
[ FOOTNOTES ]
[1]
Token 验证是标准防护方案。
[ LOADING_COMMENT_MODULE... ]