一.跨站腳本攻擊(XSS):通過HTML註入,插入惡意的腳本

　　　　類型1:反射型XSS:將用戶的輸入反射給瀏覽器,比如alert()

　　　　類型2:存儲型XSS:將包含JS的博客文章存入數據庫,所有訪問該博客的人都會執行JS腳本

　　二.XSS進階

　　　　1.XSS Payload:通過XS攻擊控制用戶的瀏覽器,最常見的是讀取瀏覽器的Cookie,發起.Cookie劫持.攻擊

　　　　2.XSS釣魚,偽造登錄框,誘使用戶輸入賬號密碼

　　三.XSS防禦

　　　　1.Cookie設置HttpOnly屬性,防止Cookie劫持

　　　　2.對輸入進行檢查,過濾特殊字符,敏感字符如<script>,重災區在富文本編輯器.網上有開源的過濾器

　　四.跨站點請求偽造(CSRF):黑客知道請求鏈接,偽造一個頁面,誘使用戶訪問,點擊鏈接,以用戶的身份發送請求

　　五.CSRF防禦

　　　　1.驗證碼

　　　　2.token

　　六.點擊劫持:黑客使用透明的iframe覆蓋在網頁上,誘使用戶點擊某個地方.

　　七.flash點擊劫持:通過制作flash遊戲,誘使用戶完遊戲,點擊某些地方,最終控制用戶的攝像頭

　　八.SQL註入:防禦方法是使用預編譯語句

　　九.XML註入

　　十.拒絕服務攻擊(DDOS):利用合理的請求占用系統資源,導致其他的請求被拒絕.

　　　　應用層的DDOS:CC攻擊,對消耗資源大的請求不斷發送正常請求:防禦:限制訪問頻率,驗證碼

　　十一.Slowloris攻擊:以極地的速度發送HTTP請求

　　十.文件上傳釣魚

　　　1.上傳文件的目錄設置為不可執行

　　　　2.隨機改寫文件名

　　　　3.判斷文件類型

　　　密碼學的基本原則:密碼系統的安全性應該依賴密鑰的復雜性,而不應該依賴算法的保密性.

web安全