ddos攻击的原理是什么？如何防御？分布式拒绝服务攻击是由于黑客控制引起的服务器资源

枯竭，占用了资源。例如，很多人来到餐厅填满座位，他们不点菜，只占座位，这样普通的客人

就不能吃饭了。防御：购买防d服务，流量清洗，带宽。反映xss脆弱性的原则？如何防御？通过

外部输入直接在浏览器上触发的反射式xss，防御：（1）特殊字符html实体转码。最好的过滤方

法是添加html实体，如转码，以防止在输出和次要调用期间注入脚本。(2)标记事件属性黑名单。

特殊字符很容易绕过，因此必须用黑名单或白名单标记事件，建议使用白名单，规则可以与正则

表达式直接匹配，如果匹配的事件不在白名单中，则可以直接拦截它们，而不是过滤掉它们。

 

 

 

请求伪造的理由是什么？用户的url和服务器端返回的信息需要过滤，否则黑客会请求伪造攻击。

一个名为csrf的客户机发生在服务器上。

 

 

 

文件上传漏洞和防御原则？程序员在开发任何文件上传功能时，都没有考虑到文件格式后缀的合

法性检查者是否只在前端通过js检查后缀。此时，攻击者可以将与站点脚本语言相对应的恶意代

码动态脚本（如jsp、asp、php、aspx文件后缀）上传到服务器，从而访问这些恶意脚本中包含

的恶意代码，然后动态解析它，以实现执行恶意代码的效果，进一步影响服务器安全。


 

服务器打开了不正确的设置或存在解析漏洞(例如，当nginx打开fast-cgi时，它上传文件带有。

jpg内容到木马，然后访问。jpg/。php在此目录中生成特洛伊木马)或打开不安全的方法(例如，

put和delete，如apache的解析漏洞(其中文件名为abc.x1.x2.x3)，apache从x3开始解析。iis6.0

在解析asp时有两个解析漏洞，一个是如果任何目录名包含一个.asp字符串，那么该目录下的所

有文件将根据asp进行解析，另一个是文件名包含asp；解析首选为asp。