有跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持、SQL注入、DDOS攻击、DNS劫持
跨站脚本攻击是说攻击者通过注入恶意的脚本,在用户浏览网页的时候进行攻击,比如获取cookie或者其他用户身份信息。 可以分为存储型和反射型,存储型是攻击者输入一些数据并且存储到了数据库中,其他浏览者看到的时候进行攻击,反射型的话 不存储在数据库中,往往表现为将攻击代码放在URL地址的请求参数中。防御的话为cookie设置HttpOnly属性、对用户的输入进行 检查,进行特殊字符串的过滤
CSRF可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求。比如,用户登录一个网站 之后,立即在另一个Tab页面访问了攻击者用来制造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个 恶意请求,这时候CSRF就产生了。比如这个制造攻击的网站使用一张图片,而这张图片的链接却是可以修改数据库的, 这时候攻击者就以用户的名义操作了这个数据库。防御方式的话:使用验证码、检查HTTP头部referer、使用token。
参考:
DNS劫持的话是指在用户请求过程的域名解析中,分析请求的域名,返回假的IP地址,使用户访问的是假的网址。