关于前端的XSS攻击:
这里有一篇Ryf老师的写的关于使用 Content Security Policy (简称 CSP 防御)来防御xss攻击,简单来说就是设置白名单,告诉浏览器哪些链接、内容是可以加载的
有两种方式:
一、通过 HTTP 头信息的Content-Security-Policy
的字段
二、通过meta 标签设置
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; "/>
如果请求的资源不是设置的content,浏览器会自动拒绝访问
详细的使用说明,可以看一下原文
http://www.ruanyifeng.com/blog/2016/09/csp.html
关于项目中遇到的短信轰炸漏洞问题:
在网上搜寻的许久、无非给出几种解决方案:
(1)增加图形验证
(2)单IP请求次数限制
(3)限制号码发送
增加图片验证,虽然可以防止恶意抓包,但在移动端的交互体验上会很不友好;IP请求限制目前鉴于平台无法控制,放弃此方案;目前折中的做法就是服务器端做频次控制