我們在建站的時候，會存在黑客不同程度的攻擊，入侵和破解，如何防止和攔截非法請求呢



方案一：每個請求都帶上一個由服務器生成的隨機參數(shù)。然后在服務器端和對該參數(shù)，如果和下發(fā)的隨機數(shù)不同，則可以認為有人在偽造請求。因為攻擊者無法知道他本次攻擊的http請求需要帶什么樣的隨機數(shù)才是有效的。

方案二：跨域偽造之所以能成功，主要決定因素是攻擊者的頁面和稍候被打開的目標頁面共享session信息。受害者登錄后，攻擊者的頁面通過ajax向被攻擊網(wǎng)站的關鍵業(yè)務發(fā)起的請求便自動帶上了合法的session信息。但是，根據(jù)javascript的同源策略可知，掛有A域名的窗口，不能獲取掛有B域名窗口中的任何信息，不管B是如何被打開的。據(jù)此，我們可以在客戶端的每個要保護的業(yè)務鏈接上增加一個參數(shù)sessionId，這個參數(shù)可以通過js從cookie中獲得。然后，在服務器端獲取此參數(shù)，并同真正的sessionId做對比，如果不同，則認為請求是偽造的。因為攻擊者的窗口無法從被攻擊網(wǎng)站的窗口中取得這個sessionId。方案二的實現(xiàn): 定義一個過濾器, 對頁面?zhèn)鬟f過來的sessionid和實際sessionid進行比較, 相同則通過
定義過濾器，請求時增加sessionid參數(shù)

文案三：安裝安全軟件比如安全狗等