力控web發布常見問題？

1、跨站腳本攻擊（Cross Site Scripting）

解決方案

xss之所以會發生，是因為用戶輸入的數據變成了代碼，因此需要對用戶輸入的數據進行html轉義處理，將其中的“尖括號”，“單引號”，“雙引號”之類的特殊字符進行轉義編碼。

2、SQL注入

報錯時，盡量使用錯誤頁面覆蓋堆棧信息

3、跨站請求偽造（Cross-Site Request Forgery）

解決方案

（1）將cookie設置為HttpOnly

server.xml如下配置

1

<Context docBase="項目" path="/netcredit" reloadable="false" useHttpOnly="true"/>

web.xml如下配置

（2）增加token

表單中增加一個隱藏域，提交時將隱藏域提交，服務端驗證token。

（3）通過referer識別

根據Http協議，在HTTP頭中有一個字段交Referer，它記錄了HTTP請求的來源地址。如果攻擊者要實施csrf攻擊時，必須從其他站點偽造請求，當用戶通過其他網站發送請求時，請求的Referer的值是其他網站的網址。因此可以對每個請求驗證其Referer值即可。