常見http攻擊行為:
暴力破解,弱密碼
HTTP内容劫持
CSRF跨站請求僞造
SQL注入
XSS跨站腳本攻擊 暴力破解防護:
白名單限制:
location /admin {
allow 10.1.1.10/16;
deny all;
proxy_pass http://127.0.0.1:8080;
} http内容劫持防護:
使用https解決資料劫持的問題,但無法解決域名劫持問題。
CSRF跨站請求僞造及防護:
在請求位址中加入token驗證。
SQL注入:
加強代碼安全邏輯,對參數嚴格檢查,采用安全開發架構如ORM