如何巧妙防御Web攻击？

要知道，网站放在公网服务器上，会被各类人访问，其中也包含一些黑客，所以网站是时刻面临着被攻击的风险。

WEB攻击种类也是相当多的，最常见的WEB攻击方式有以下这些：

SQL注入；

XSS、CSRF攻击；

应用漏洞攻击，常见的是上传漏洞、富文本编辑器漏洞；

DDoS攻击等等。

那我们在开发及运营阶段如何规避这些攻击风险呢？结合我多年经验，提供一些方案供大家参考：

1、SQL注入的防御：

对用户输入的数据务必做检查，过滤或转义危险字符，如：单引号、双引号、SQL关键字等；

SQL语句不要用拼接字符串的方式构建，而应该使用SQL预编译的方式来处理参数绑定；

2、XSS、CSRF攻击的防御

不要相信用户任何的输入，对用户输入的数据做过滤或转义，比如过滤掉：JS脚本、CSS样式；

表单Token；

3、应用漏洞防御

严格控制服务器上各目录及文件的写入、执行权限；

需要对上传文件的格式做限定；

一些富文本编辑器自带一些管理后台要删除掉；

对于CMS类程序，一有漏洞公布时第一时间修复；

4、DDoS攻击防御

最经济实用的方法就是使用CDN加速，一来加速资源访问，二来隐藏了源服务器的IP；

碰到大流量DDoS时联系机房做流量清洗，必要时换高防IP。

综上，对于WEB应用而言攻击种类很多，但是现在不少CDN厂商在CDN基础上提供了安全监测功能，它会监测GET请求，对于一些不合法的参数会给过滤掉，这样也就减少了不少攻击。

以上就是我的观点，对于这个问题大家是怎么看待的呢？欢迎在下方评论区交流 ~ 我是科技领域创作者，十年互联网从业经验，欢迎关注我了解更多科技知识！