常見(jiàn)的網(wǎng)絡(luò)攻擊讓直播源碼開發(fā)的發(fā)展路越走越坎坷，開發(fā)技術(shù)的不斷進(jìn)步也讓攻擊方式跟上了腳步，平臺(tái)需要面對(duì)很多之前沒(méi)見(jiàn)過(guò)的攻擊方式，比如XSS攻擊、SQL注入、csrf攻擊等，這些攻擊方式應(yīng)該用哪些手段防御呢？

?

一、XSS攻擊

是指攻擊者在直播源碼開發(fā)上注入惡意的客戶端代碼，從而在用戶使用軟件進(jìn)行訪問(wèn)時(shí)，獲得用戶隱私數(shù)據(jù)的一種行為，XSS可以分持久性和非持久型、基于DOM三種。

1、持久型，持久型XSS會(huì)把用戶輸入的數(shù)據(jù)儲(chǔ)存在服務(wù)器端中，當(dāng)直播源碼開發(fā)請(qǐng)求數(shù)據(jù)時(shí)，腳本從服務(wù)器上傳回并執(zhí)行，這種攻擊方式有很強(qiáng)的穩(wěn)定性

2、非持久型，這種攻擊方式只是簡(jiǎn)單的把用戶輸入的數(shù)據(jù)反射給直播源碼開發(fā)，這往往需要用戶點(diǎn)擊指定的惡意鏈接才能實(shí)現(xiàn)，或者提交一個(gè)表單，或者進(jìn)入一個(gè)惡意網(wǎng)站時(shí)，注入腳本進(jìn)入被攻擊者的網(wǎng)站，這種攻擊方式往往是單向一次性的

3、基于DOM，只在直播源碼開發(fā)客戶端發(fā)生的攻擊，指客戶端的惡意腳本可以修改的dom，不依賴于服務(wù)器端數(shù)據(jù)

?

二、CSRF攻擊

也被成為跨站請(qǐng)求偽造，一般CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任，可以在受害者不知情的情況下通過(guò)用戶的名義偽造請(qǐng)求發(fā)送給受攻擊的服務(wù)器，這一般發(fā)生在直播源碼開發(fā)的PC端上，在未授權(quán)的情況下執(zhí)行在權(quán)限保護(hù)下的操作。

?

三、防御手段

XSS的防御 ，輸入檢查對(duì)來(lái)自直播源碼開發(fā)用戶的輸入進(jìn)行檢查、過(guò)濾、轉(zhuǎn)義包括限制用戶輸入的內(nèi)容的長(zhǎng)度，限制服務(wù)器端存儲(chǔ)的內(nèi)容長(zhǎng)度等；對(duì)輸出內(nèi)容進(jìn)行檢查；設(shè)置cookie的http-only。

CSRF的防御，請(qǐng)求時(shí)附帶驗(yàn)證信息，直播源碼開發(fā)服務(wù)器下發(fā)一個(gè)隨機(jī)token，每次請(qǐng)求時(shí)將token帶上，服務(wù)器驗(yàn)證token是否有效；禁止get請(qǐng)求更改數(shù)據(jù)；驗(yàn)證碼在一些需要登陸的頁(yè)面加入等。

聲明：以上內(nèi)容為云豹科技作者本人原創(chuàng)，未經(jīng)作者本人同意，禁止轉(zhuǎn)載，否則將追究相關(guān)法律責(zé)任