2、用户点击后 ， 该JS作为请求参数传给Web服务器后端
3、后端服务器没有检查过滤 ， 简单处理后放入网页正文中返回给浏览器
4、浏览器解析返回的网页 ， 中招！
存储型




上述方式攻击脚本直接经服务器转手后返回浏览器触发执行 ， 存储型与之的区别在于能够将攻击脚本入库存储 ， 在后面进行查询时 ， 再将攻击脚本渲染进网页 ， 返回给浏览器触发执行 。
常见的套路举例如下：
1、攻击者网页回帖 ， 帖子中包含JS脚本
2、回帖提交服务器后 ， 存储至数据库
3、其他网友查看帖子 ， 后台查询该帖子的回帖内容 ， 构建完整网页 ， 返回浏览器
4、该网友浏览器渲染返回的网页 ， 中招！
防御手段：前后端均需要做好内容检测 ， 过滤掉可执行脚本的侵入
重点关注：前端工程师、Web后端工程师
CSRF攻击Web安全三板斧之三 ， 攻击示意图如下：



核心思想在于 ， 在打开A网站的情况下 ， 另开Tab页面打开恶意网站B ， 此时在B页面的“唆使”下 ， 浏览器发起一个对网站A的HTTP请求 。这个过程的危害在于2点：
1、这个HTTP请求不是用户主动意图 ， 而是B“唆使的” ， 如果是一个危害较大的请求操作（发邮件？删数据？等等）那就麻烦了
2、因为之前A网站已经打开了 ， 浏览器存有A下发的Cookie或其他用于身份认证的信息 ， 这一次被“唆使”的请求 ， 将会自动带上这些认证信息 ， A网站后端会认为是正常用户的请求 ， 将会予以执行 ， 如果是银行转账、金融交易等操作 ， 这是非常危险的 。
重点关注：前端工程师、Web后端工程师
DDoS攻击
DDoS全称Distributed Denial of Service：分布式拒绝服务攻击 。是拒绝服务攻击的升级版 。拒绝攻击服务顾名思义 ， 让服务不可用 。常用于攻击对外提供服务的服务器 ， 像常见的：
Web服务
邮件服务
DNS服务
即时通讯服务
......





在早期互联网技术还没有那么发达的时候 ， 发起DoS攻击是一件很容易的事情：一台性能强劲的计算机 ， 写个程序多线程不断向服务器进行请求 ， 服务器应接不暇 ， 最终无法处理正常的请求 ， 对别的正常用户来说 ， 看上去网站貌似无法访问 ， 拒绝服务就是这么个意思 。
后来随着技术的发展 ， 现在的服务器早已不是一台服务器那么简单 ， 你访问一个www.baidu.com的域名 ， 背后是数不清的CDN节点 ， 数不清的Web服务器 。
这种情况下 ， 还想靠单台计算机去试图让一个网络服务满载 ， 无异于鸡蛋碰石头 ， 对方没趴下 ， 自己先趴下了 。



技术从来都是一柄双刃剑 ， 分布式技术既可以用来提供高可用的服务 ， 也能够被攻击方用来进行大规模杀伤性攻击 。攻击者不再局限于单台计算机的攻击能力 ， 转而通过成规模的网络集群发起拒绝服务攻击 。



拒绝服务攻击实际上是一类技术 ， 根据具体实施手段的不同 ， 又可以进一步细分：
SYN Flood
ICMP Flood
UDP Flood
......
防御手段：即便是到现在 ， 面对DDoS也没有100%打包票的防御方法 ， 只能靠一些缓解技术一定层面上减轻攻击的威力 。这些技术包括：流量清洗、SYN Cookie等等 。
重点关注：运维工程师、安全工程师
DNS劫持当今互联网流量中 ， 以HTTP／HTTPS为主的Web服务产生的流量占据了绝大部分 。Web服务发展的如火如荼 ， 这背后离不开一个默默无闻的大功臣就是域名解析系统：



如果没有DNS ， 我们上网需要记忆每个网站的IP地址而不是他们的域名 ， 这简直是灾难 ， 好在DNS默默在背后做了这一切 ， 我们只需要记住一个域名 ， 剩下的交给DNS来完成吧 。

• 信息技术背景下如何开展传统文化节日教育
• 《《穷查理宝典：查理·芒格智慧箴言录》（全新增订本）》读后感
• 测控技术与仪器专业个人工作简历怎么写？
• 摄影摄像技术专业求职简历怎么写？
• 毕业生求职信—汽车检测与维修技术专业怎么写？
• 信息技术专员毕业生个人简历如何写？
• 技术部经理辞职报告怎么写？
• 数控技术专业求职信写法怎么样？
• 生产技术开发员求职简历怎么写？
• 技术部年度工作计划如何写？