WEB 隨著現在的發展，越來越先進越來複雜，之前前端就是簡單的HTML 現在都都到5代了，並且包含的CSS和JS，現在的WEB 至關重要。現在的前端展示越來越牛，遊戲，資料，所有的資訊軟體現在都可以在你的前端展示應用，所以說WEB 很重要一不留神可能獲取客戶的資訊資料，

WEB攻擊一般都是：

跨站指令碼攻擊(XSS)

攻擊者在網頁上釋出包含攻擊性程式碼的資料。當瀏覽者看到此網頁時，特定的指令碼就會以瀏覽者使用者的身份和許可權來執行。透過XSS可以比較容易地修改使用者資料、竊取使用者資訊，以及造成其它型別的攻擊，例如CSRF攻擊 常見解決辦法:確保輸出到HTML頁面的資料以HTML的方式被轉義

跨站請求偽造攻擊（CSRF)

攻擊者透過各種方法偽造一個請求，模仿使用者提交表單的行為，從而達到修改使用者的資料，或者執行特定任務的目的。為了假冒使用者的身份，CSRF攻擊常常和XSS攻擊配合起來做，但也可以透過其它手段，例如誘使使用者點選一個包含攻擊的連結 解決的思路有: 1.採用POST請求,增加攻擊的難度.使用者點選一個連結就可以發起GET型別的請求。而POST請求相對比較難，攻擊者往往需要藉助javascript才能實現 2.對請求進行認證，確保該請求確實是使用者本人填寫表單並提交的，而不是第三者偽造的.具體可以在會話中增加token,確保看到資訊和提交資訊的是同一個人

Http Heads攻擊

網站連結注入 Cookie攻擊等

重定向攻擊

一般是釣魚網站常用，一般給你一個特定網站竊取使用者資料等

上傳檔案攻擊

最簡單的而是大多數人都犯錯的，在網上隨意下載帶有竊取使用者資料的軟體（EXE,RAR,js指令碼等）

WEB 攻擊生活中經常碰到，方便了我們每個人，但是也會帶來很多的危險。

WEB攻擊在整個網路攻擊體系中肯定是切入點，透過WEB攻擊，已達到竊取相關資料、肉雞等行為。常見的WEB攻擊無非4個方面。

分別是XSS攻擊（關鍵是指令碼，利用惡意指令碼發起攻擊），SQL注入（關鍵是透過用SQL語句偽造引數發出攻擊），DDOS攻擊（關鍵是發出大量請求，最後令伺服器崩潰），CSRF攻擊（關鍵是藉助本地cookie進行認證，偽造傳送請求）。

一、XSS通常可以分為兩大類：

儲存型XSS，主要出現在讓使用者輸入資料，供其他瀏覽此頁的使用者進行檢視的地方，包括留言、評論、部落格日誌和各類表單等。應用程式從資料庫中查詢資料，在頁面中顯示出來，攻擊者在相關頁面輸入惡意的指令碼資料後，使用者瀏覽此類頁面時就可能受到攻擊。這個流程簡單可以描述為：。反射型XSS，主要做法是將指令碼程式碼加入URL地址的請求引數裡，請求引數進入程式後在頁面直接輸出，使用者點選類似的惡意連結就可能受到攻擊。

防護手段堅決不要相信使用者的任何輸入，並過濾掉輸入中的所有特殊字元。這樣就能消滅絕大部分的XSS攻擊。

二、SQL注入：攻擊者成功的向伺服器提交惡意的SQL查詢程式碼，程式在接收後錯誤的將攻擊者的輸入作為查詢語句的一部分執行，導致原始的查詢邏輯被改變，額外的執行了攻擊者精心構造的惡意程式碼。

三、DDOS：分散式拒絕服務攻擊（Distributed Denial of Service），簡單說就是傳送大量請求是使伺服器癱瘓。DDos攻擊是在DOS攻擊基礎上的，可以通俗理解，dos是單挑，而ddos是群毆，因為現代技術的發展，dos攻擊的殺傷力降低，所以出現了DDOS，攻擊者藉助公共網路，將大數量的計算機裝置聯合起來，向一個或多個目標進行攻擊。

四、攻擊指的是，攻擊客戶端在短時間內偽造大量不存在的IP地址，向伺服器不斷地傳送包，伺服器回覆確認包，並等待客戶的確認。由於源地址是不存在的，伺服器需要不斷的重發直至超時，這些偽造的包將長時間佔用未連線佇列，正常的請求被丟棄，導致目標系統執行緩慢，嚴重者會引起網路堵塞甚至系統癱瘓。