从支付宝看Web安全的三大防御策略

以支付宝为例，我们来探讨Web安全的三大攻防策略。

🏉

在Web安全领域，我们常常会遇到以下几种攻击手段：

🦊

1. XSS（跨站脚本攻击）

💎

2. CSRF（跨站请求伪造）

3. Clickjacking（点击劫持/UI-覆盖攻击）

接下来，我们将逐一分析这些攻击方式。

首先是XSS攻击，它指的是恶意攻击者将恶意脚本代码注入到Web页面中，当用户访问该页面时，这些脚本代码会被执行，从而实现对用户的恶意攻击。XSS攻击可以分为以下三种类型：

- 反射型XSS攻击（Reflected XSS）

- 存储型XSS攻击（Stored XSS）

- 基于DOM或本地的XSS攻击（DOM-based or local XSS）

以反射型XSS攻击为例，它主要利用系统反馈行为漏洞，并诱使用户主动触发攻击。比如，在严选网站上搜索商品，当搜索不到时，站点会显示“xxx未上架提示”，(集团)官方网站。如果前端页面没有对搜索框输入的数据进行过滤，攻击者就可能利用这一点，通过构造特定的URL来诱骗用户点击，从而获取用户的登录cookie信息。

再来看存储型XSS攻击，它与反射型XSS攻击的区别在于，攻击脚本被保存到了服务器上，可以被普通用户从服务端获取并执行，从而在网络中传播。例如，攻击者可以在博客网站上发布一篇文章，其中包含恶意脚本。如果后端没有对文章内容进行过滤，那么其他读者在阅读文章时，恶意脚本就会被执行。

需要注意的是，这些攻击方式在Web安全领域非常常见，因此，我们应当加强防范措施，确保网站的安全。