Web 安全防护

保护应用免受常见攻击至关重要。

OWASP Top 10

1. SQL 注入

使用参数化查询防止注入。

// ❌ 危险
query(`SELECT * FROM users WHERE name = '${name}'`);

// ✅ 安全
query('SELECT * FROM users WHERE name = $1', [name]);

2. XSS 攻击

转义用户输入，使用 Content-Security-Policy。

3. CSRF 保护

实施同源策略和 CSRF Token。

4. 认证安全

• 使用 bcrypt 密码哈希
• 实施多因素认证 (MFA)
• JWT 短期有效 + Refresh Token

安全无小事，大家一起学习！