html屬于的前端編程中一項(xiàng)�����,接口是必須要暴露的,起碼基于現(xiàn)在的技術(shù)框架是無(wú)法避免的���,因?yàn)橹灰怯嘘P(guān)html的代碼只需要在瀏覽器里面右鍵點(diǎn)擊查看源代碼所有的相關(guān)的html代碼都會(huì)原封不動(dòng)的展示出來(lái)��,所以前端頁(yè)面的很多樣式特效只要有一家有新的變化出來(lái)���,緊接著很快就會(huì)被抄襲拷貝了�����,樣式和風(fēng)格太容易拿來(lái)使用了�����,所以想在加密只能在數(shù)據(jù)接口上做做文章,現(xiàn)在web安全已經(jīng)成為一個(gè)非常熱點(diǎn)的問(wèn)題��,因?yàn)殡S著網(wǎng)頁(yè)應(yīng)用的普及化網(wǎng)頁(yè)安全將會(huì)越來(lái)被重視��。
常見(jiàn)的web都有哪些安全隱患��,為什么要重視web安全��?
SQL注入:這種危害性最大����,直接違背設(shè)計(jì)者的初衷,注入篡改數(shù)據(jù)庫(kù)操作���,再?lài)?yán)重點(diǎn)直接操縱數(shù)據(jù)庫(kù)服務(wù)器�����,網(wǎng)站越大數(shù)據(jù)庫(kù)被拖庫(kù)的可能性越大�����,這是各大運(yùn)營(yíng)網(wǎng)站必須要面對(duì)的實(shí)際問(wèn)題����。在實(shí)際操作過(guò)程中對(duì)于用戶(hù)的信息一定要管控,不要由著用戶(hù)輸入任何可能性對(duì)數(shù)據(jù)庫(kù)產(chǎn)生危害的操作�����,不要使用動(dòng)態(tài)拼接SQL���,盡量不要返回異常信息給用戶(hù)��。
XSS:跨站腳本攻擊
向web網(wǎng)頁(yè)注入html腳本獲取cookie為主�,以js注入執(zhí)行為主�,導(dǎo)航到惡意網(wǎng)站或者注入木馬�����,防護(hù)規(guī)則其實(shí)也很簡(jiǎn)單在js中,過(guò)濾掉關(guān)鍵字:JavaScript��,cookie屬性設(shè)置為http-only���,同時(shí)提高代碼嚴(yán)謹(jǐn)度和規(guī)范性比如在避免未經(jīng)授權(quán)訪(fǎng)問(wèn)會(huì)話(huà)狀態(tài)����,限制會(huì)話(huà)的壽命�����,對(duì)身份驗(yàn)證的cookie進(jìn)行加密���,避免明文的形式密碼發(fā)送����。
當(dāng)然還有其他的隱患:比如沒(méi)有限制URL訪(fǎng)問(wèn)��,越權(quán)訪(fǎng)問(wèn)�����,重復(fù)提交增加服務(wù)器負(fù)載等都是web安全領(lǐng)域涉及到的問(wèn)題,現(xiàn)在web開(kāi)發(fā)越來(lái)越傾向于前后端分離的方式���,極大提升了開(kāi)發(fā)的效率����,但安全防護(hù)級(jí)別降低了�,話(huà)又說(shuō)回來(lái)只要在互聯(lián)網(wǎng)上的東西很難保證絕對(duì)的安全,對(duì)于web來(lái)講不上網(wǎng)就相當(dāng)于癱瘓����,所以只能在防護(hù)級(jí)別增加力度,為了防止被盜就采用數(shù)字加密方式常見(jiàn)的加密方式有(非對(duì)稱(chēng)的RSA��,私鑰加密等等)����,加鹽操作(在擁有MD5算法的基礎(chǔ)上采用加鹽策略)普及下簡(jiǎn)單的概念加鹽:“在密碼學(xué)中,是指通過(guò)在密碼任意固定位置插入特定的字符串�����,讓散列后的結(jié)果和使用原始密碼的散列結(jié)果不相符����,這種過(guò)程稱(chēng)之為“加鹽””����,另外還有一種給現(xiàn)在支付吧或者微信接口經(jīng)常使用的token機(jī)制����,用令牌限制��,這種通用性比較強(qiáng)��,相當(dāng)于在傳輸真正的數(shù)據(jù)之前先發(fā)送一個(gè)令牌指令驗(yàn)證打開(kāi)門(mén)����,驗(yàn)證通過(guò)之后才允許數(shù)據(jù)安全通過(guò),而且這個(gè)令牌也是有期限的����,到期了就會(huì)關(guān)閉。
網(wǎng)絡(luò)的世界里面沒(méi)有絕對(duì)的安全����,在平常的開(kāi)發(fā)過(guò)程中,代碼的規(guī)范性以及嚴(yán)謹(jǐn)程度也會(huì)影響到安全指數(shù)��,現(xiàn)在的網(wǎng)站開(kāi)發(fā)功能一般都比較強(qiáng)大�����,參與人數(shù)多都會(huì)加大出錯(cuò)的概率,而且經(jīng)常還有一個(gè)服務(wù)器上運(yùn)行多個(gè)運(yùn)營(yíng)平臺(tái)��,這些都是安全隱患���,絕大部分安全都是因?yàn)閭€(gè)人失誤造成����。
安全是無(wú)法完全杜絕���,但可以通過(guò)一些方案或者措施最大程度的規(guī)避���。
希望能幫到你。
贊同0
評(píng)論0
加載中...
