跨站请求伪造，也称为CSRF或XSRF，基本上永远存在。 它源于网站必须向另一个站点发出请求的简单功能。 假设我在 https://a.com 面中嵌入了以下表单。 form action="https://your-bank.com/transfer" method="POST" id="stealMoney" input type="hidden"name="to"value="Scott Helme" input type="hidden"name="account"value="14278935" input type="hidden"name="amount"val

项目地址：https://www.npmjs.com/package/koa-csrf安装：npm install koa-csrf 需要配合session使用：// CSRF 防御 const CSRF = require('koa-csrf'); const csrfMD = new CSRF({ invalidSessionSecretMessage: 'Invalid session secret', invalidTokenMessage: 'Invalid CSRF token', invalidTokenStatusCode: 403, }); router.post

跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。XSS：Cross Site Scrit 跨站脚本攻击（为与 CSS 区别，所以在安全领域叫 XSS）。攻击原理是代码被恶意注入到页面中（例如评论），然后其他用户在访问页面时，浏览器执行了代码逻辑。为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？这就是"网页安全政策"（Content Security Policy，缩写 CSP）的来历。CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提

1. 一台 Linux 系统初始化环境后需要做一些什么安全工作？1、添加普通用户登陆，禁止 root 用户登陆，更改 SSH 端口号。修改 SSH 端口不一定绝对哈。当然，如果要暴露在外网，建议改下。2、服务器使用密钥登陆，禁止密码登陆。3、开启防火墙，关闭 SElinux ，根据业务需求设置相应的防火墙规则。4、装 fail2ban 这种防止 SSH 暴力破击的软件。5、设置只允许公司办公网出口 IP 能登陆服务器(看公司实际需要)也可以安装 VPN 等软件，只允许连接 VPN 到服务器上。6、修改历史命令记录的条数为 10 条。7、只允许有需要的服务器可以访问外网，其它全部禁止。8、做好软

1. 【强制】隶属于用户个人的页面或者功能必须进行权限控制校验。 说明:防止没有做水平权限校验就可随意访问、修改、删除别人的数据，比如查看他人的私信内容。2. 【强制】用户敏感数据禁止直接展示，必须对展示数据进行脱敏。 说明:中国大陆个人手机号码显示为:137****0969，隐藏中间 4 位，防止隐私泄露。3. 【强制】用户输入的SQL参数严格使用参数绑定或者METADATA字段值限定，防止SQL注入， 禁止字符串拼接 SQL 访问数据库。反例:某系统签名大量被恶意修改，即是因为对于危险字符 # --没有进行转义，导致数据库更新时，where 后边的信息被注释掉，对全库进行更新。4. 【强制

一，在不改动现有系统任何代码的前提下，防止SQL注入比如下面这个场景：服务器中难免有些安全性比较差的程序，比如使用了老版本的dedecms。或者某个程序引用的第三方插件，在SQL处理上，没有使用参数绑定，而是直接拼接字符串，还没有类型检查。 这时可以考虑使用WAF （Web Application Firewall）。 二，如何选择市面上的WAF有三种形态，硬件Web防火墙、Web防护软件和云Waf。 最为灵活的方案是选择Web防护软件。 三，安装配置服务器环境Windows server 2008, Apache是PHP官方推荐的Windows二进制版 http://www.apachelo