以下哪些是Web应用程序中常见的安全漏洞?A. SQL注入B. XSS(跨站脚本攻击)C. CSRF(跨站请求伪造)D. DNS劫持

本题考查Web应用程序常见安全漏洞的识别能力。解题核心在于理解各选项攻击方式的作用对象和实现原理：

• SQL注入、XSS、CSRF均直接针对Web应用程序的逻辑或用户交互，属于应用层安全问题；
• DNS劫持属于网络层攻击，与Web应用逻辑无关。

选项分析

A. SQL注入

SQL注入通过用户输入注入恶意SQL代码，控制数据库操作。例如，用户输入' OR 1=1可能绕过登录验证或窃取数据。这是典型的Web应用漏洞。

B. XSS（跨站脚本攻击）

XSS通过Web页面存储或反射恶意脚本（如JavaScript），当其他用户浏览页面时，脚本自动执行，窃取Cookie或会话信息。例如，论坛中提交<script>alert('XSS')</script>可能弹窗。

C. CSRF（跨站请求伪造）

CSRF利用用户已认证的状态，伪造请求执行恶意操作（如转账）。例如，诱导用户点击链接，触发<img src="https://bank.com/transfer?to=hacker&amount=1000">。

D. DNS劫持

DNS劫持通过篡改DNS解析，将域名指向恶意服务器，属于网络层攻击（如仿冒银行网站）。此攻击与Web应用逻辑无关，属于基础设施安全问题。