Add README.md

README.md

+# 一 越权漏洞
+> 防止信息（A所属）被B篡改
+---
+重要度：<font size=4 color=#D2691E>★</font>
+
+方案：
+1.  直接通过代码相关业务逻辑控制  
+难易程度：<font size=4 color=#D2691E>★</font>
+
+
+# 二 跨站脚本攻击漏洞（XSS）
+> 用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。
+---
+重要度：<font size=4 color=#D2691E>★★★★</font>
+
+方案：
+1. 禁止使用 <font size=4 color=#95d4f3>el</font> 表达式显示用户的录入信息 
+
+   &修改easyui的datagrid的format实现（easyui源码级别）   
+
+   &其他js第三方框架漏洞未知（需要通过测试验证）
+
+   难易程度：<font size=4 color=#D2691E>★★★★</font>
+2. 直接在拦截器过滤危险信息(最简单最暴力，目前建议暂时使用这个)  
+   难易程度：<font size=4 color=#D2691E>★★</font>  
+   缺点： 无法让用户存储`<script src=""><style link=""><img src="">`等会注入其他文件的标签，某些特定场合不适用，如论坛等。
+   > 具体还要看阿里那边的检测要求
+3. 使用前端模板引擎渲染数据  
+   难易程度：<font size=4 color=#D2691E>★★★★★</font>
+
+# 三 SQL注入漏洞
+> 相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。
+---
+重要度：<font size=4 color=#D2691E>★★★★★</font>
+
+方案：
+1.  开发者禁止将用户传入信息，使用 <font size=4 color=#D2691E>${参数}</font> 方式拼接到SQL代码（永远不要相信前端传过来的参数）  
+    难易程度：<font size=4 color=#D2691E>★★★★</font>
+2.  直接在拦截器过滤危险信息(目前建议暂时使用这个)  
+    难易程度：<font size=4 color=#D2691E>★★</font>
+
+    缺点： 无法让用户存储类SQL等敏感字符，某些特定场合不适用，如论坛等。
+
+
+# 四 跨站请求伪造漏洞
+> 用户正确访问应用后，如果未安全退出，当用户点击恶意网页时，恶意网站发送到之前应用，操作成功。
+---
+重要度：<font size=4 color=#D2691E>★★★★★</font>
+
+> 未进行测试，如果测试失败，只需要增加Referer认证即可，难易度： <font size=4 color=#D2691E>★</font>
+
+
+
+