攻击篇

XSS

XSS跨站脚本攻击，全称是 Cross Site Scripting，为了与CSS区分开来，故简称 XSS。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本，从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。

XSS的一些特点：

通常难以从UI上感知（暗地里执行脚本）
窃取用户信息（cookie/token）
绘制UI（例如弹窗），诱骗用户点击/填写表单

一个简单的例子：我们期望用户在content中输入正常的内容，结果黑客提交了恶意脚本，就形成了XSS攻击。

    <div>${content}</div>
    content:`<script>alert("XSS")</script>`
复制代码

原本的代码变为：

    <div>
        <script>alert("XSS")</script>
    </div>
复制代码

XSS可以分为存储型XSS、反射型XSS、基于 DOM 的 XSS 攻击、mutation-based XSS

存储型 XSS

这种攻击方式是将恶意脚本存在数据库中
当用户访问了这个页面，服务器就会从客户端读数据。恶意脚本可以通过XMLHttpRequest 或者 Fetch 将用户的 Cookie 数据上传到黑客的服务器。
这种XSS危害大，全局可见。

反射型XSS

这种方式不涉及数据库，从url上攻击。比如在发送到服务器的请求url里加上恶意代码，服务器又将这段恶意代码返回给客户端。因此，不明来源的链接不要乱点。

基于DOM的XSS

这种方式不需要服务器参与，恶意攻击的发起和执行全在浏览器内完成，一般是通过劫持html文件进行篡改。

mutation-based XSS

利用了浏览器渲染DOM的特性（独特优化），按浏览器进行攻击

CSRF

CSRF（Cross-site request forgery），跨站请求伪造。就是指当和我们打开不明网站时，黑客利用用户的登录状态发起的跨站请求。在用户不知情的前提下，利用用户权限,也就是cookie等信息构造指定的HTTP请求，窃取或修改用户敏感信息。

injection注入攻击

SQL注入

SQL注入是比较常见的网络攻击方式之一，后台接收到用户输入的数据，并且在sql语句中使用这个数据，如果过滤不严，就会让恶意代码注入到你的sql语言中。

比如在常用的密码校验里，类似这样的sql语句

    Select id From users Where user_id='' And password=''
复制代码

当密码为1'or'1'='1，sql语句就变成了

    Select id From users Where user_id='' And password='1'or'1'='1'
复制代码

SQL语句的查询结果为永远是true，就可以实现无账号登录之类的功能。更有甚者，直接删除数据库。

除此之外，还有一些其他的注入方式，比如CLI、OS command、SSRF(Server-Side Request Forgery:服务器端请求伪造)。严格来说这个SSRF不是注入攻击，但是原理类似，一般用于攻击内网系统。

DoS

DoS（Denial of Service）其目的是使计算机或网络无法提供正常的服务。通过某种方式，导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应。

ReDoS：基于正则表达式的DoS

正则表达式使用贪婪模式，不适用？,有多少匹配多少的时候，攻击者可以构造特殊的字符串来大量消耗服务器的系统资源，造成服务器的服务中断或停止。

Distributed DoS(DDoS)

洪水攻击，短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求，导致请求堆积，进而雪崩效应，无法响应新请求。特点是直接访问IP，使用任意API，消耗大量带宽。

中间人攻击

比如使用http进行明文传输的时候，攻击者很容易进行劫持，篡改数据，这时候客户端和服务端都无法验证对方身份，但是认为这个中间人就是另一方。因此后来引入了HTTPS协议。

防御篇

防御XSS

首先原则是永远不要相信用户的提交内容，不要将用户的提交内容直接转化成DOM。
如今有一些现场的工具帮助我们防御XSS攻击，前端主流框架默认防御XSS，谷歌也提供了一个防御的JS库google-closure-library。
服务端(Node)可以使用DOMPurify。DOMPurify 将删除所有包含危险 HTML 的内容，从而防止 XSS 攻击和其他恶意行为。

有几种情况是需要尽量避免的：