.跨站点脚本攻击 (XSS)攻击者将输入js标记的代码发送到网站.当此输入在未经处理的情况下返回给用户时,用户的浏览器将执行它.这是一个相当普遍的过滤失败,(本质上是注射缺陷).例如:在页面加载时,脚本将运行并用于某些权限的...URL后,攻击者可以修改URL中的字段,使其显示类似"admin"用户名的内容预防使用内部代码执行,不要使用外部参数来执行安全配置错误遇到配置错误的服务器和网站是很常见的,例如:在生产环境中运行启用了调试程序在服务器上启用目录列表...用户密码等不应传输或未加密存储,并且密码应始终应该进行哈希处理.会话ID和敏感数据不应在URL中传输,这一点怎么强调都不为过.包含敏感数据的Cookie应打开"secure".预防使用HTTPS传输,Cookie...打开secure,不需要或非必要的的数据及时删除,没人可以说数据不可能被盗取.所有密码都使用哈希加密.缺少功能级的访问控制如果在服务器上调用函数时未执行适当的授权,则会发生这种情况.开发人员倾向于假设,...或者转向到攻击者自己的钓鱼网站内.预防不要做重定向当需要重定向时,需要有一个有效重定向位置的静态列表或数据库.将自定义参数列入白名单(不过跟麻烦)----当然条件允许的话可以使用腾讯云旗下的安全产品:T-Sec