使用http时:

1问题：前端传输明文密码给后台，后台利用加盐操作将密码hash后放到数据库，但是黑客可以直接获取到从浏览器传输到后端的明文密码

解决方法：使用RSA非对称加密，前端使用对应于后端的public key进行加密，后端再用private key解密

2问题：黑客使用中间人方法，对浏览器伪装成博客，对博客伪装成浏览器，用户使用黑客提供的public key加密，黑客拿到后使用它的private key解密，然后再将得到的明文密码使用博客的public key加密，后端系统用它的private key解密，这个过程后端全然不知密码已经泄露

解决方法：可以采用数字证书或者https，不过经费较大。所以采用在前端hash密码后再传输给数据库的方法，这样，即使黑客拿到了数据也获取不到明文密码了

3问题：黑客可以直接拿到前端hash过后的密码，所以可以直接将这个密码发送给后端进行登录(重放攻击)(黑客已经获取不到明文密码了，但是仍然可以伪造登录)

解决方法:使用动态验证码的方式，在前端hash一次得到code1，再用后端提供的验证码作为盐再hash得到code2，(其中code1对黑客不可见)，然后再把code2和验证码一起发给后端。后端检测验证码正确与否，然后再拿数据库中的密码code1(这个code1是前端hash过一次的密码，这个密码可以在用户注册的时候进行存储，而登录全部采用验证码加盐验证的方式)，利用验证码进行hash后得到code3，然后验证code2与code3是否相等。此时黑客只能拿到这一次的code2和验证码，即使黑客存储了这个值，下一次这两个值已经失效了，黑客拿到的东西也失去了意义了。

4问题：黑客无法重放攻击了，采用攻击数据库获取信息的方法

解决方法：在后端对拿到的前端的hash过一次的密码进行再hash，这样数据库中存储的便是加密过两次的数据了，黑客也难以用字典进行破解。

参考链接：https://mp.weixin.qq.com/s/9ZB923jDybc143UKl1BRmQ

什么是 SYN 攻击（SYN Flood）？

    在三次握手过程中，服务器发送 SYN-ACK 之后，收到客户端的 ACK 之前的 TCP 连接称为半连接(half-open connect)。此时服务器处于 SYN_RCVD 状态。当收到 ACK 后，服务器才能转入 ESTABLISHED 状态.

    SYN攻击指的是，攻击客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送SYN包，服务器回复确认包，并等待客户的确认。由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，导致目标系统运行缓慢，严重则会引起网络堵塞甚至系统瘫痪。

    SYN 攻击是一种典型的 DoS/DDoS 攻击。

如何检测 SYN 攻击？

    检测 SYN 攻击非常的方便，当你在服务器上看到大量的半连接状态时，特别是源IP地址是随机的，基本上可以断定这是一次SYN攻击。在Linux/Unix 上可以使用系统自带的 netstats 命令来检测 SYN 攻击。

如何防御 SYN 攻击？

    SYN攻击不能完全被阻止，除非将TCP协议重新设计。我们所做的是尽可能的减轻SYN攻击的危害，常见的防御 SYN 攻击的方法有如下几种：

    缩短超时（SYN Timeout）时间

    增加最大半连接数

    过滤网关防护

    SYN cookies技术

ARP攻击（点击这里了解ARP）

PC1收到两个ARP回应包，内容分别如下：

    我是PC2，我的IP地址是IP2，我的MAC地址是MAC2；

我是PC2，我的IP地址是IP2，我的MAC地址是MAC3；

PC1一脸懵：咋回事？还有这操作？不管了，我选最新的！（后到优先）

    网络协议里各种表在处理缓存信息的方式：

    要么"先到先得"，要么"后到优先"。上面提到的ARP和CAM表，就是遵循"后到优先"原则，而DHCP表，则遵循"先到先得"原则。

那么问题来了，上面两个ARP回应包到底哪个先到哪个后到呢？

    作为初学者，可能还在纠结前后这种naive的问题；而作为hacker，只要持续不停发出ARP欺骗包，就一定能够覆盖掉正常的ARP回应包。稳健的ARP嗅探/渗透工具，能在短时间内高并发做网络扫描（例如1秒钟成千上百的数据包），能够持续对外发送欺骗包。

就这样，PC1本来要发给PC2的数据包，落到了PC3（Hacker）手里，这就完成了一次完整的ARP攻击。反过来，如果PC2要将数据包发送给PC1，PC3仍然可以以同样的ARP欺骗实现攻击，这就有了下面这张图（PC3既欺骗了PC1，也欺骗了PC2）。

此时，PC1和PC2的通信数据流被PC3拦截，形成了典型的"中间人攻击"。那么，一旦被攻击并拦截，攻击者能做什么，普通用户又会遭受什么损失？这里给大家举几个常见的例子=>

①攻击者既然操控了数据流，那么直接断开通信是轻而易举的，即"断网攻击"，例如，PC1发给PC2的数据在PC3这里可以直接丢弃，而如果这里的PC2是一台出口路由器（无线路由器），那就意味着PC1直接无法连上互联网。

②"断网攻击"显然容易被发现，而且比较"残忍"，所以就有了更加常见的应用-"限速"。例如，在宿舍上网突然很慢，在网吧上网突然打不开网页，如果这个网络没有安全防御，那么很有可能有"内鬼"。

③其实无论是"断网攻击"还是"限速"，整体还是比较"善良"，因为这里流量里面的核心数据还没有被"提取"出来。如果攻击者是一名真正的黑客，他的目的一定不会这么无聊，因为内网流量对于黑客是没有太大价值的，而只有"用户隐私"，例如常见网站的登录账号密码，这些才是最有价值的。

问：遭受ARP攻击之后，哪些账号可能被窃取？

答：任何基于明文传输的应用，都可以被窃取。例如，如果一个网站不是HTTPS协议，而是基于HTTP明文传输，那么当你登录这个网站时，你的密码就会被窃取。除了http（web应用），常见的还有telnet、ftp、pop3/smtp/imap（邮箱）等应用，都很容易泄露密码。

ARP攻击总结

    ①ARP缓存表基于"后到优先"原则，IP与MAC的映射信息能被覆盖；

    ②ARP攻击基于伪造的ARP回应包，黑客通过构造"错位"的IP和MAC映射，覆盖主机的ARP表（也被称为"ARP毒化"），最终截取用户的数据流；

• 一旦遭受ARP攻击，账号密码都可能被窃取（如果通信协议不是加密的）；
• 通过Wireshark数据包分析，我们掌握了真实网络中ARP底层攻击原理及数据包组成。

ARP防御原理与解决方案

    通过之前的文章，我们已经了解了ARP攻击的危害，黑客采用ARP软件进行扫描并发送欺骗应答，同处一个局域网的普通用户就可能遭受断网攻击、流量被限、账号被窃的危险。由于攻击门槛非常低，普通人只要拿到攻击软件就可以扰乱网络秩序，导致现在的公共网络、家庭网络、校园网、企业内网等变得脆弱无比。

所以，如何进行有效的ARP防御？作为普通用户怎么防御？作为网络/安全管理员又怎么防御？

有哪些ARP防御软件？如果被ARP攻击了，如何揪出"内鬼"并"优雅的还手"？

有两种解决方案：

1. 保证电脑不接收欺骗包
2. 保证电脑收到欺骗包之后不相信

简单来说，ARP防御可以在网络设备上实现，也可以在用户端实现，更可以在网络设备和用户端同时实现。

1、在网络设备上实现（交换机的ARP防御）：

    局域网安全里比较常用的防御技术，这种防御技术被称为DAI（Dynamic ARP Inspection）- 动态ARP检测，原理可以用两句话简单概括：

        ①交换机记录每个接口对应的IP地址和MAC，即port<->mac<->ip，生成DAI检测表；

        ②交换机检测每个接口发送过来的ARP回应包，根据DAI表判断是否违规，若违规则丢弃此数据包并对接口进行惩罚。

    我们知道，PC3是在交换机的Port3、MAC地址是MAC3，IP地址是IP3，所以本地DAI表项内容是<port3-mac3-ip3>。当交换机从接口Port3收到ARP回应包，内容却是IP2和MAC3映射，即<port3-mac3-ip2>，经判断，这个包就是虚假的欺骗包，交换机马上丢弃这个包，并且可以对接口做惩罚（不同设备的惩罚方式有所不同，可以直接将接口"软关闭"，直接将攻击者断网；也可以"静默处理"，仅丢弃欺骗包，其他通信正常）

上面这个动态ARP监测技术，可以说是目前防御ARP攻击最有效的方法之一。但是，作为初学者，大家可能还会有疑问：

①一般的交换机或网络设备能部署动态ARP监测技术吗？

②连接用户的交换机，怎么能识别IP地址信息呢？

③上面这张DAI表是如何生成的？是不是像CAM表一样能自动识别？

    这里要给大家说个稍微悲伤一点的事实，大部分能支持这种动态ARP监测技术的交换机或者无线路由器，都基本是企业级的产品。即便是企业级交换机，具备局域网安全防御功能的设备，价格都要高出不少，所以很多中小型企业网或校园网，基本都愿意买"阉割版"网络接入产品，因为"能通就行"，至于安全性怎样，这是另外要考虑的问题。

所以，简单的交换机不具备动态ARP监测技术，即便市面上有带安全防御的网络产品，企业、学校、医院等大量网络，仍然在早期采购的时候，用的是比较基础版本的交换机。当然，随着网络与安全市场的激烈竞争和网络安全意识的增强，以后会越来越好。

另外，交换机能识别IP地址信息吗？

    从现在的网络技术来看，分层界限越来越模糊，融合式的网络设备才是主流，现在的接入交换机基本能被Telnet/SSH/Web管理，更专业的交换机同时支持动态ARP监测（dai）、IP源防护（ipsg）、DHCP侦听（dhcp snooping）、端口安全、AAA、802.1x等局域网安全技术，已经超越了原有二层交换机的定义。所以，交换机能读三层甚至七层的数据包已经不是什么新鲜事了，不要被"交换机就是二层设备"给束缚了，这只是纸面上的定义。

最后一个问题，DAI检测表是如何生成的？

    在上面图解中，我们看到交换机查看的表已经不是原来的CAM表了，内容也不太一样，CAM表的内容主要是MAC和Port的映射，而DAI检测表则是Port、MAC、IP三个信息映射。目前这张表支持两种方式来生成：第一种方式就是手工静态绑定：即用户接入网络之后，管理员根据此用户电脑的MAC和IP地址，然后在接口上绑死，缺点就是用户数太多的话，手工绑定管不过来；第二种方式就是目前最主流的做法，即在交换机上开启DHCP侦听技术，当用户第一次通过DHCP获取到地址的时候，交换机就把用户电脑的IP、MAC、Port信息记录在DHCP侦听表，后面ARP检测直接调用这张DHCP侦听表即可。

小结：以上便是在网络设备上部署的ARP防御技术，通过动态ARP监测技术（DAI），可以很好的解决ARP欺骗问题。技术虽好，但局域网内的交换机、无线路由器是否支持DAI，这个则取决于实际网络情况，尤其是十面埋伏的公共WiFi网络、脆弱无比的家庭网络、能通就行的校园网络......  我们都应该持怀疑态度，至少不能完全信任这些网络。

既然这样的话，普通用户有没有"自救"的方法，能够抵挡ARP攻击呢？答案是肯定的=>

    对于普通用户，陌生网络不要随意接入，肯定是首选考虑的；当然，这里研究的是用户已经接入了网络，如何做安全防御的问题。从上图可以看到，用户（电脑或手机）最重要的便是通过安装ARP防火墙做安全防御，很多普通用户甚至“以电脑裸奔为豪，以骂安全厂商为荣”，这是对技术的严重藐视，对自己隐私的不负责任。普通小白一定要记住一句话：你没有被黑，只是你还没有到达被黑的价值。

ARP防火墙在技术实现上，一般都有以下功能：

    ①绑定正确的的IP和MAC映射，收到攻击包时不被欺骗。

    ②能够根据网络数据包特征（参考上一篇讲解的ARP攻击数据包溯源分析），自动识别局域网存在的ARP扫描和欺骗行为，并做出攻击判断（哪个主机做了攻击，IP和MAC是多少）。

那么，有哪些常见的ARP安全产品呢？

    自带ARP防御功能：腾讯电脑管家、360安全卫士……

专业的ARP防火墙：彩影ARP、金山贝壳、360ARP防火墙……

    采用安全产品肯定是普通用户最省时省力的做法，而对于技术人/工程师而言，如果不屑于使用安全产品，并且希望解决ARP攻击行为，也可以通过"ARP双向绑定"的技术来实现。

什么是"ARP双向绑定"呢？

    从上图可以看到，PC1和PC2通信双方都静态绑定对方的IP和MAC映射，即便收到ARP欺骗包，由于静态绑定的ARP映射条目优先级高于动态学习到的，所以可以保证不被欺骗。

这种做法非常"绿色无污染"，因为不需要额外的软件安装，但是缺点也非常明显，例如普通用户不知道如何在电脑上做ARP静态绑定，另外工作量也比较大，每个主机和网关设备都需要绑定整个局域网的ARP静态映射。以下面的家庭WiFi网络为例：

Windows arp静态绑定方法=>

    ①进入命令行cmd界面；

② [arp -s ip地址 mac地址]，例如：arp -s 192.168.1.1   00-11-22-a1-c6-09

注：家用无线路由器若要进行ARP绑定，则需要通过web登录并进行图形操作

小结：用户端的ARP防御方法，要么安装ARP防火墙，要么做ARP双向绑定。对于绝大部分用户来讲，虽然安装防火墙不是保证百分百安全了，但是能够解决很大一部分的隐患。

ARP防御总结

    ①ARP攻击非常低门槛，但是造成的影响却很大，包括断网攻击、流量被限、账号被盗等；

    ②ARP防御可以在网络端（网络设备）上部署，也可以在用户端（电脑/手机）上部署；

    ③网络设备（例如交换机）部署ARP防御，通常需要用到DAI（动态ARP监测）技术，更加专业的局域网安全防御，还可能结合DHCP侦听、IP源防护、端口安全、AAA、802.1X等技术，这些专业的防御技术，是由网络运维和安全运维工程师来实施的。

    ④用户端（电脑/手机）实施ARP防御，最好的方法就是不要随意接入陌生网络，并且安装ARP防火墙。当然，技术宅的话，可以采用"ARP双向绑定"的方法，相对比较麻烦，但是也奏效。

    ⑤作为一名有素养的网络/安全工程师，应该不作恶。但是如果遭受攻击，应该揪出内鬼并"优雅的还手"，做一个网络警察，还普通用户一个干净的网络环境。

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS

跨站脚本攻击：指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制，获取用户的一些信息。

xss攻击可以分成两种类型：
1.非持久型攻击
2.持久型攻击

非持久型xss攻击：顾名思义，非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户浏览器执行，从而达到攻击目的。

持久型xss攻击：持久型xss，会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

xss攻击也可以分成三种类型：

反射型：经过后端，不经过数据库
存储型：经过后端，经过数据库
DOM：不经过后端,DOM—based XSS漏洞是基于文档对象模型Document Objeet Model,DOM)的一种漏洞,dom - xss是通过url传入参数去控制触发的。

通过 XSS 攻击，黑客能做什么？

1. 窃取 Cookie：黑客可以在 JavaScript 中通过 document.cookie 获得 Cookie 信息。

2. 未授权操作：以利用 JavaScript 的特性，直接代替用户在 HTML 进行各类操作。

3. 按键记录和钓鱼：黑客还可以通过修改 DOM，伪造一个登录框，来诱导用户在本不需要登录的页面，去输入自己的用户名和密码。

常见XSS注入点

前端防御方法：

1、将能被转换为html的输入内容，在写代码时改为innerText而不用innerHTML

2、实在没有办法的情况下可用如下方法（js代码）将含有<>等符号转化为其他字符

function safeStr(str){
return str.replace(/</g,'&lt;').replace(/>/g,'&gt;').replace(/"/g, "&quot;").replace(/'/g, "'");
}

3、使用正则表达式过滤

CSP

面对 XSS 这样一个很普遍的问题，W3C 提出了 CSP（Content Security Policy，内容安全策略）来提升 Web 的安全性。所谓 CSP，就是在服务端返回的 HTTP header 里面添加一个 Content-Security-Policy 选项，然后定义资源的白名单域名。浏览器就会识别这个字段，并限制对非白名单资源的访问。

配置样例如下所示：

Content-Security-Policy:default-src ‘none’; script-src ‘self’;
connect-src ‘self’; img-src ‘self’; style-src ‘self’;

那我们为什么要限制外域资源的访问呢？这是因为 XSS 通常会受到长度的限制，导致黑客无法提交一段完整的 JavaScript 代码。为了解决这个问题，黑客会采取引用一个外域 JavaScript 资源的方式来进行注入。除此之外，限制了外域资源的访问，也就限制了黑客通过资源请求的方式，绕过 SOP 发送 GET 请求。目前，CSP 还是受到了大部分浏览器支持的，只要用户使用的是最新的浏览器，基本都能够得到很好的保护

参考链接：

https://blog.csdn.net/u011781521/article/details/53894399

CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：
       攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

 CSRF攻击原理及过程如下：

1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；
       5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

 CSRF漏洞检测：
       检测CSRF漏洞是一项比较繁琐的工作，最简单的方法就是抓取一个正常请求的数据包，去掉Referer字段后再重新提交，如果该提交还有效，那么基本上可以确定存在CSRF漏洞。

随着对CSRF漏洞研究的不断深入，不断涌现出一些专门针对CSRF漏洞进行检测的工具，如CSRFTester，CSRF Request Builder等。

以CSRFTester工具为例，CSRF漏洞检测工具的测试原理如下：使用CSRFTester进行测试时，首先需要抓取我们在浏览器中访问过的所有链接以及所有的表单等信息，然后通过在CSRFTester中修改相应的表单等信息，重新提交，这相当于一次伪造客户端请求。如果修改后的测试请求成功被网站服务器接受，则说明存在CSRF漏洞，当然此款工具也可以被用来进行CSRF攻击。

防御CSRF攻击：

目前防御 CSRF 攻击主要有三种策略：验证 HTTP Referer 字段；在请求地址中添加 token 并验证；在 HTTP 头中自定义属性并验证。

  （1）验证 HTTP Referer 字段

根据 HTTP 协议，在 HTTP 头中有一个字段叫 Referer，它记录了该 HTTP 请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，比如需要访问 http://bank.example/withdraw?account=bob&amount=1000000&for=Mallory，用户必须先登陆 bank.example，然后通过点击页面上的按钮来触发转账事件。这时，该转帐请求的 Referer 值就会是转账按钮所在的页面的 URL，通常是以 bank.example 域名开头的地址。而如果黑客要对银行网站实施 CSRF 攻击，他只能在他自己的网站构造请求，当用户通过黑客的网站发送请求到银行时，该请求的 Referer 是指向黑客自己的网站。因此，要防御 CSRF 攻击，银行网站只需要对于每一个转账请求验证其 Referer 值，如果是以 bank.example 开头的域名，则说明该请求是来自银行网站自己的请求，是合法的。如果 Referer 是其他网站的话，则有可能是黑客的 CSRF 攻击，拒绝该请求。

这种方法的显而易见的好处就是简单易行，网站的普通开发人员不需要操心 CSRF 的漏洞，只需要在最后给所有安全敏感的请求统一增加一个拦截器来检查 Referer 的值就可以。特别是对于当前现有的系统，不需要改变当前系统的任何已有代码和逻辑，没有风险，非常便捷。

然而，这种方法并非万无一失。Referer 的值是由浏览器提供的，虽然 HTTP 协议上有明确的要求，但是每个浏览器对于 Referer 的具体实现可能有差别，并不能保证浏览器自身没有安全漏洞。使用验证 Referer 值的方法，就是把安全性都依赖于第三方（即浏览器）来保障，从理论上来讲，这样并不安全。事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。如果 bank.example 网站支持 IE6 浏览器，黑客完全可以把用户浏览器的 Referer 值设为以 bank.example 域名开头的地址，这样就可以通过验证，从而进行 CSRF 攻击。

即便是使用最新的浏览器，黑客无法篡改 Referer 值，这种方法仍然有问题。因为 Referer 值会记录下用户的访问来源，有些用户认为这样会侵犯到他们自己的隐私权，特别是有些组织担心 Referer 值会把组织内网中的某些信息泄露到外网中。因此，用户自己可以设置浏览器使其在发送请求时不再提供 Referer。当他们正常访问银行网站时，网站会因为请求没有 Referer 值而认为是 CSRF 攻击，拒绝合法用户的访问。

（2）在请求地址中添加 token 并验证（Anti CSRF Token）

1. 用户访问某个表单页面。

2. 服务端生成一个Token，放在用户的Session中，或者浏览器的Cookie中。

3. 在页面表单附带上Token参数。

4. 用户提交请求后，服务端验证表单中的Token是否与用户Session（或Cookies）中的Token一致，一致为合法请求，不是则非法请求。

这个Token的值必须是随机的，不可预测的。由于Token的存在，攻击者无法再构造一个带有合法Token的请求实施CSRF攻击。另外使用Token时应注意Token的保密性，尽量把敏感操作由GET改为POST，以form或AJAX形式提交，避免Token泄露。

CSRF 攻击之所以能够成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于 cookie 中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的 cookie 来通过安全验证。要抵御 CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。

这种方法要比检查 Referer 要安全一些，token 可以在用户登陆后产生并放于 session 之中，然后在每次请求时把 token 从 session 中拿出，与请求中的 token 进行比对，但这种方法的难点在于如何把 token 以参数的形式加入请求。对于 GET 请求，token 将附在请求地址之后，这样 URL 就变成 http://url?csrftoken=tokenvalue。 而对于 POST 请求来说，要在 form 的最后加上 <input type=”hidden” name=”csrftoken” value=”tokenvalue”/>，这样就把 token 以参数的形式加入请求了。但是，在一个网站中，可以接受请求的地方非常多，要对于每一个请求都加上 token 是很麻烦的，并且很容易漏掉，通常使用的方法就是在每次页面加载时，使用 javascript 遍历整个 dom 树，对于 dom 中所有的 a 和 form 标签后加入 token。这样可以解决大部分的请求，但是对于在页面加载之后动态生成的 html 代码，这种方法就没有作用，还需要程序员在编码时手动添加 token。

该方法还有一个缺点是难以保证 token 本身的安全。特别是在一些论坛之类支持用户自己发表内容的网站，黑客可以在上面发布自己个人网站的地址。由于系统也会在这个地址后面加上 token，黑客可以在自己的网站上得到这个 token，并马上就可以发动 CSRF 攻击。为了避免这一点，系统可以在添加 token 的时候增加一个判断，如果这个链接是链到自己本站的，就在后面添加 token，如果是通向外网则不加。不过，即使这个 CSRF token 不以参数的形式附加在请求之中，黑客的网站也同样可以通过 Referer 来得到这个 token 值以发动 CSRF 攻击。这也是一些用户喜欢手动关闭浏览器 Referer 功能的原因。

 （3）在 HTTP 头中自定义属性并验证

这种方法也是使用 token 并进行验证，和上一种方法不同的是，这里并不是把 token 以参数的形式置于 HTTP 请求之中，而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类，可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性，并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便，同时，通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏，也不用担心 token 会透过 Referer 泄露到其他网站中去。

然而这种方法的局限性非常大。XMLHttpRequest 请求通常用于 Ajax 方法中对于页面局部的异步刷新，并非所有的请求都适合用这个类来发起，而且通过该类请求得到的页面不能被浏览器所记录下，从而进行前进，后退，刷新，收藏等操作，给用户带来不便。另外，对于没有进行 CSRF 防护的遗留系统来说，要采用这种方法来进行防护，要把所有请求都改为 XMLHttpRequest 请求，这样几乎是要重写整个网站，这代价无疑是不能接受的。

其他防御方法：

1. 尽量使用POST，限制GET

GET接口太容易被拿来做CSRF攻击，看第一个示例就知道，只要构造一个img标签，而img标签又是不能过滤的数据。接口最好限制为POST使用，GET则无效，降低攻击风险。

当然POST并不是万无一失，攻击者只要构造一个form就可以，但需要在第三方页面做，这样就增加暴露的可能性。

2. 浏览器Cookie策略

IE6、7、8、Safari会默认拦截第三方本地Cookie（Third-party Cookie）的发送。但是Firefox2、3、Opera、Chrome、Android等不会拦截，所以通过浏览器Cookie策略来防御CSRF攻击不靠谱，只能说是降低了风险。

PS：Cookie分为两种，Session Cookie（在浏览器关闭后，就会失效，保存到内存里），Third-party Cookie（即只有到了Exprie时间后才会失效的Cookie，这种Cookie会保存到本地）。

PS：另外如果网站返回HTTP头包含P3P Header，那么将允许浏览器发送第三方Cookie。

3. 加验证码

验证码，强制用户必须与应用进行交互，才能完成最终请求。在通常情况下，验证码能很好遏制CSRF攻击。但是出于用户体验考虑，网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段，不能作为主要解决方案。

参考链接：

https://blog.csdn.net/stpeace/article/details/53512283

进阶阅读：

https://tech.meituan.com/2018/10/11/fe-security-csrf.html

是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）

SSRF防护：设置白名单、对协议和资源进行限制

通常来说，我们会将应用的用户信息存储在数据库中。每次用户登录时，都会执行一个相应的 SQL 语句。这时，黑客会通过构造一些恶意的输入参数，在应用拼接 SQL 语句的时候，去篡改正常的 SQL 语意，从而执行黑客所控制的 SQL 查询功能。这个过程，就相当于黑客“注入”了一段 SQL 代码到应用中。这就是我们常说的 SQL 注入。

通过 SQL 注入攻击，黑客能做什么？

1. 绕过验证

2. 任意篡改数据

除了绕过验证，我们在任意语句执行的部分中讲到，SQL 注入漏洞导致黑客可以执行任意的 SQL 语句。因此，通过插入 DML 类的 SQL 语句（INSERT、UPDATE、DELETE、TRUNCATE、DROP 等），黑客就可以对表数据甚至表结构进行更改，这样数据的完整性就会受到损害。比如上面例子中，黑客通过插入 DROP TABLE Users，删除数据库中全部的用户。

3. 窃取数据

在 XSS 漏洞中，黑客可以通过窃取 Cookie 和“钓鱼”获得用户的隐私数据。那么，在 SQL 注入中，黑客会怎么来获取这些隐私数据呢？

在各类安全事件中，我们经常听到“拖库”这个词。所谓“拖库”，就是指黑客通过类似 SQL 注入的手段，获取到数据库中的全部数据（如用户名、密码、手机号等隐私数据）。最简单的，黑客利用 UNION 关键词，将 SQL 语句拼接成下面这行代码之后，就可以直接获取全部的用户信息了。

SELECT * FROMUsersWHERE UserId = 1UNIONSELECT * FROMUsers

4. 消耗资源

如何进行 SQL 注入防护 ？

1. 使用 PreparedStatement

2. 使用存储过程

3. 验证输入

反序列化攻击流程

1. 黑客构造一个恶意的调用链（专业术语为 POP，Property OrientedProgramming），并将其序列化成数据，然后发送给应用；
2. 应用接收数据。大部分应用都有接收外部输入的地方，比如各种 HTTP接口。而这个输入的数据就有可能是序列化数据；
3. 应用进行反序列操作。收到数据后，应用尝试将数据构造成对象；
4. 应用在反序列化过程中，会调用黑客构造的调用链，使得应用会执行黑客的任意命令。

如何进行反序列化漏洞防护 ？

1. 认证和签名

首先，最简单的，我们可以通过认证，来避免应用接受黑客的异常输入。要知道，很多序列化和反序列化的服务并不是提供给用户的，而是提供给服务自身的。比如，存储一个对象到硬盘、发送一个对象到另外一个服务中去。对于这些点对点的服务，我们可以通过加入签名的方式来进行防护。比如，对存储的数据进行签名，以此对调用来源进行身份校验。只要黑客获取不到密钥信息，它就无法向进行反序列化的服务接口发送数据，也就无从发起反序列化攻击了。

2. 限制序列化和反序列化的类

事实上，认证只是隐藏了反序列化漏洞，并没有真正修复它。那么，我们该如何从根本上去修复或者避免反序列化漏洞呢？

在反序列化漏洞中，黑客需要构建调用链，而调用链是基于类的默认方法来构造的。然而，大部分类的默认方法逻辑很少，无法串联成完整调用链。因此，在调用链中通常会涉及非常规的类，比如，刚才那个 demo 中的 InvokerTransformer。我相信 99.99% 的人都不会去序列化这个类。因此，我们可以通过构建黑名单的方式，来检测反序列化过程中调用链的异常。

在 Fastjson 的配置文件中，就维护了一个黑名单的列表，其中包括了很多可能执行代码的方法类。这些类都是平常会使用，但不会序列化的一些工具类，因此我们可以将它们纳入到黑名单中，不允许应用反序列化这些类（在最新的版本中，已经更改为 hashcode 的形式）。

我们在日常使用 Fastjson 或者其他 JSON 转化工具的过程中，需要注意避免序列化和反序列化接口类。这就相当于白名单的过滤：只允许某些类可以被反序列化。我认为，只要你在反序列化的过程中，避免了所有的接口类（包括类成员中的接口、泛型等），黑客其实就没有办法控制应用反序列化过程中所使用的类，也就没有办法构造出调用链，自然也就无法利用反序列化漏洞了。

3.RASP 检测

通常来说，我们可以依靠第三方插件中自带的黑名单来提高安全性。但是，如果我们使用的是 Java 自带的序列化和反序列化功能（比如ObjectInputStream.resolveClass），那我们该怎么防护反序列化漏洞呢？如果我们想要替这些方法实现黑名单的检测，就会涉及原生代码的修改，这显然是一件比较困难的事。

为此，业内推出了 RASP（Runtime Application Self-Protection，实时程序自我保护）。RASP 通过 hook 等方式，在这些关键函数的调用中，增加一道规则的检测。这个规则会判断应用是否执行了非应用本身的逻辑，能够在不修改代码的情况下对反序列化漏洞攻击实现拦截。

我个人认为，RASP是最好的检测反序列化攻击的方式。 我为什么会这么说呢？这是因为，如果使用认证和限制类这样的方式来检测，就需要一个一个去覆盖可能出现的漏洞点，非常耗费时间和精力。而 RASP 则不同，它通过 hook 的方式，直接将整个应用都监控了起来。因此，能够做到覆盖面更广、代码改动更少。

但是，因为 RASP 会 hook 应用，相当于是介入到了应用的正常流程中。而 RASP 的检测规则都不高效，因此，它会给应用带来一定的性能损耗，不适合在高并发的场景中使用。但是，在应用不受严格性能约束的情况下，我还是更推荐使用 RASP。这样，开发就不用一个一个去对漏洞点进行手动修补了。