web常见问题排查？

下面是常见的几种web安全问题及解决方案，希望能对大家有所帮助。

1、跨站脚本攻击（Cross Site Scripting）

解决方案

xss之所以会发生，是因为用户输入的数据变成了代码，因此需要对用户输入的数据进行html转义处理，将其中的“尖括号”，“单引号”，“双引号”之类的特殊字符进行转义编码。

2、SQL注入

报错时，尽量使用错误页面覆盖堆栈信息

3、跨站请求伪造（Cross-Site Request Forgery）

解决方案

（1）将cookie设置为HttpOnly

server.xml如下配置

1

<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>

web.xml如下配置

（2）增加token

表单中增加一个隐藏域，提交时将隐藏域提交，服务端验证token。

（3）通过referer识别

根据Http协议，在HTTP头中有一个字段交Referer，它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时，必须从其他站点伪造请求，当用户通过其他网站发送请求时，请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。

4、文件上传漏洞

在网上经常会操作，上传图片、文件到服务端保存，这时候，如果没有对图片文件做正确的校验，会导致一些恶意攻击者上传病毒，木马，外挂等等到服务器，窃取服务器信息，甚至导致服务器瘫痪。

因此需要对上传的文件进行校验，很多文件起始的几个字节是固定的，因此，根据这几个字节的内容，就可以判断文件的类型，这几个字节也被称作魔数。

征集网站制作软件、flash制作软件、网站制作代码等等

Macromedia Dreamweaver 8、Macromedia FLASH 2008、大宝库

   以下都是本人作品,不是拷贝的:如果网上有相同的,都是抄袭我的。 你是想建立一个个人网站，用于发表文章或其它用途，目前这是一个很时尚的潮流，介绍这个方案，使你多一个选择，通常总是希望简单而又少花钱，我明确地告诉你，你不可能做到不付钱就有人送个网站给你的好事，同时这样的网站即使送给你，对你也是毫无用处，——你想少花钱的话，必须自己学会做其中的一些事情，否则不可能。
  即使你比较有钱，网站也必须自己维护，不然你这个网站将是一块很难改动的广告牌，没有什么意义。 建立网站前，你必须学习一些道理，介绍你到《站长网》看看，那是一个网站站长聚集的网站，许多文章同建立网站有关，这个网站的域名是： 。 当然技术也很重要，但是需要建立网站的人与专门搞建立网站技术的人是不一样的，所以不要听那些搞技术的人所指的道路，他们是要将你变成一个技术人员，你真的将目标锁定于网站技术了？冷静地想一想。
   个人网站一般希望少花钱，但是一分钱不花恐怕办不到，因为即使申请一个最便宜的域名也要1元钱，我介绍的办法大约在三五十元可以达到目的，虽然免费的二级域名是免费的，但那东西建议你不要用，我是上过当了，网上也有什么免费的空间，同样也有这样那样的问题。
   我自己也建立网站，用的是非常简单的技术，介绍你看一个小网站，（ 而我知道许多人同我一样，只是希望简单地用一下这个技术，建立一个自己的网站，因为互联网的主要精神就是开放的精神，我们不能总是读别人的东西，我们也要在这个领域中展现我们自己。不能将许许多多人排斥在互联网这个现代文明的门外。