阿里云国际版常见的HTTP攻击类型有哪些？

HTTPS只是安全访问的其中一环，如需全面保证网络安全，则还需要接入WAF、DDoS等防御能力，以下为常见的HTTP攻击类型：

• SQL注入：利用现有应用程序，可以将恶意的SQL命令注入到后台数据库引擎中并执行。也可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。
• 跨站脚本攻击：跨站脚本攻击XSS（Cross-site scripting）是最常见和基本的攻击Web网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时，特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以较容易地修改用户数据、窃取用户信息。
• 跨站请求伪造攻击：跨站请求伪造CSRF（Cross-site request forgery）是另一种常见的攻击。攻击者通过各种方法伪造一个请求，模仿用户提交表单的行为，从而达到修改用户的数据或者执行特定任务的目的。为了假冒用户的身份，CSRF攻击和XSS攻击通常会相互配合，但也可以通过其它手段，例如诱使用户单击一个包含攻击的链接。
• Http Heads攻击：使用浏览器查看任何Web网站，无论您的Web网站采用何种技术和框架，都用到了HTTP协议。HTTP协议在Response header和content之间有一个空行，即两组CRLF（0x0D 0A）字符，这个空行标志着headers的结束和content的开始，攻击者可以利用这一点。只要攻击者有办法将任意字符注入到Headers中，这种攻击就可以发生。
• 重定向攻击：一种常用的攻击手段是“钓鱼”。钓鱼攻击者通常会发送给受害者一个合法链接，当您访问链接时，会被导向一个非法网站，从而达到骗取用户信任、窃取用户资料的目的。为防止这种行为，我们必须对所有的重定向操作进行审核，以避免重定向到一个危险的地方。常见解决方案是白名单，将合法的要重定向的URL添加到白名单中，非白名单上的域名重定向时拒绝。第二种解决方案是重定向token，在合法的URL上加上token，重定向时进行验证。