标签：劫持 场景 请求 网站 前端 wifi 用户 恶意 防御

1 .DNS劫持：域名劫持，劫持请求，分析请求的域名，只把在要劫持的域名请求名单之外的请求放行，否则返回假的IP地址或者什么都不做，这样就会失去响应，其效果就是对特定的网络不能访问或访问的是假网址。

防御：比如说，我们经常会在各种饭馆里面连一些wifi，此时WiFi就是中间代理，如果这个wifi是黑客所建立的热点wifi，那么黑客就可以截获该用户收发的所有数据。所以建议网站都使用https进行加密，这样就算网站的数据能被拿到，黑客也无法解开。

2.XSS 攻击：跨站脚本攻击，它允许恶意web用户将代码植入页面中，这样当别人访问到该页面时，也执行了嵌入的那部分代码，可以简单的理解为JavaScript代码注入

防御：转义用户的输入，就是把用户的输入解读为数据而不是代码，对用户的输入及请求都进行过滤检查，设置输入域的匹配规则等，使用cookie的httpOnly属性，加上这个属性的cookie字段，js就无法进行读写了

 .使用场景：在网站上动态渲染任意 HTML 是非常危险的，因为容易导致 XSS 攻击。只在可信内容上使用 v-html，永不用在用户提交的内容上。

3.CSRF攻击：跨站请求伪造，是一种对网站的恶意利用。比如说你登录了一个普通网站，然后CSRF攻击者在你已经登录目标网站之后，诱使你访问一个恶意网站，那个恶意网站就可能会冒充你的身份来进行一些操作。

防御：1、重要的数据采用post进行接收，2、验证http referer字段，该字段记录了此次http请求的来源地址，3、使用验证码，只要涉及到数据交互就先进行验证码验证
 

标签：劫持,场景,请求,网站,前端,wifi,用户,恶意,防御
来源： https://blog.csdn.net/qq_45715615/article/details/123057705

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。