网络安全-Easy to understand and humorous

Easy to understand and humorous

行动起来，活在当下

累计撰写 39 篇文章
累计创建 4 个标签
累计收到 2 条评论

目录CONTENT

以下是网络安全相关的文章

2025-10-07
XSS漏洞 XSS（跨站脚本攻击）是通过在网页注入恶意脚本，当用户访问时执行窃取数据或实施攻击的漏洞。静态站点不受影响。攻击主要分三类：反射型（非持久，通过URL参数反射执行）、存储型（持久，恶意代码存于服务器）、DOM型（客户端直接操作DOM执行）。危害包括盗取账号、控制数据、篡改页面、挂马等。防御需综合措施：输入过滤、输出转义、设置HttpOnly（防JS读取Cookie）、指定字符集、验证跳转URL等。
- 2025-10-07
- 12
- 0
- 0
- 网络安全
2025-09-28
CSRF漏洞 CSRF（跨站请求伪造）是攻击者利用用户已登录信任网站的Cookie，伪装其身份向目标网站发送恶意请求的攻击。其成功关键在于请求参数可被预测，且用户在未退出信任网站时访问了危险网站。攻击分GET型（通过`<img>`等标签发起）和POST型（利用表单或JS自动提交）。防御措施包括：添加验证码强制用户交互；在请求中嵌入随机Token并验证（URL参数或HTTP头）；校验HTTP Referer字段确保请求来源合法。其中Token机制是核心防御手段，需保证其随机性与保密性。
- 2025-09-28
- 3
- 0
- 0
- 网络安全
2025-09-25
TLS 如何防止中间人攻击？ TLS通过加密和身份验证机制有效防御中间人攻击。其结合对称与非对称加密技术，在握手过程中验证服务器数字证书，确保通信双方身份真实性，并协商生成临时会话密钥。完美前向保密（PFS）功能使每个会话使用独立密钥，即使私钥泄露也无法解密历史通信。Diffie-Hellman等安全密钥交换方法进一步保障密钥协商过程不被窃听，从而实现数据机密性、完整性和身份认证，阻断攻击者拦截或篡改通信的路径。
- 2025-09-25
- 2
- 0
- 0
- 网络安全