常见http攻击行为:
暴力破解,弱口令
HTTP内容劫持
CSRF跨站请求伪造
SQL注入
XSS跨站脚本攻击 暴力破解防护:
白名单限制:
location /admin {
allow 10.1.1.10/16;
deny all;
proxy_pass http://127.0.0.1:8080;
} http内容劫持防护:
使用https解决数据劫持的问题,但无法解决域名劫持问题。
CSRF跨站请求伪造及防护:
在请求地址中加入token验证。
SQL注入:
加强代码安全逻辑,对参数严格检查,采用安全开发框架如ORM