先聊一个老生常谈但又总是被低估的问题:XSS攻击。
全称跨站脚本攻击(Cross-Site Scripting),说白了就是攻击者往你网站里塞一段恶意脚本,等别的用户一访问,脚本就在人家浏览器里跑起来了。干的事也很脏——偷Cookie、劫持会话、植入木马,啥都有可能。很多运维朋友第一反应是“我装个防火墙不就完了?”但说实话,Linux防火墙(比如iptables、ufw)本身并不直接跟XSS较劲,它管的是网络层的数据包过滤,不是应用层的脚本注入。不过别急着关页面——防火墙如果能跟其他安全措施配合好,照样能给你撑起一片防护网。
先说几个必须做的基础动作。
防御XSS攻击的措施
- 输入验证和过滤:所有用户输入进来的东西,都得按规则过滤一遍。手机号就只能是数字,邮箱就得符合邮箱格式,别让那些
