谈谈web安全性问题及对策

通过检查Referer的值，我们就可以判断这个请求是合法的还是非法的，但是问题出在服务器不是任何时候都接受到Referer的值，所以Referer Check一般用于监控CSRF攻击的发生，而不用来抵御攻击。

Token：目前主流的做法是使用Token防御CSRF攻击

CSRF攻击要成功的条件在于攻击者能够准确地预测所有的参数从而构造出合法的请求，所以根据不可预测性原则，我们可以对参数进行加密从而防止CSRF攻击，可以保存其原有参数不变，另外添加一个参数Token，其值是随机的，这样攻击者因为不知道Token而无法构造出合法的请求进行攻击，所以我们在构造请求时候只需要保证：

Token要足够随机，使攻击者无法准确预测

Token是一次性的，即每次请求成功后要更新Token，增加预测难度

Token要主要保密性，敏感操作使用POST，防止Token出现在URL中

最后值得注意的是，过滤用户输入的内容不能阻挡CSRF攻击，我们需要做的事过滤请求的来源，因为有些请求是合法，有些是非法的，所以CSRF防御主要是过滤那些非法伪造的请求来源。

XSS攻击：

XSS又称为CSS，全程为Cross-site script，跨站脚本攻击，为了和CSS层叠样式表区分所以取名为XSS，是Web程序中常见的漏洞。

其原理是攻击者向有XSS漏洞的网站中输入恶意的HTML代码，当其它用户浏览该网站时候，该段HTML代码会自动执行，从而达到攻击的目的，如盗取用户的Cookie，破坏页面结构，重定向到其它网站等。

佰佰安全网提醒您：了解网络安全防范措施与应用措施是非常重要的，因为只有这样才能保障在网络中的安全，另外也可参考一些网络安全常识和网络安全技术来帮助自己，提高自己的能力。

( 责任编辑: 张小付 )