现在大数据云计算双管齐下,对于网站的开发人员来说就更需要学会去应对各种突如其来的挑战,例如,响应式设计和可访问性、安全性等,但在实际的开发中这些东西有时会被忽视或被忽略,特别是在网站的安全方面。就目前而言,通过网站注册调查来看数据泄露是用户最关心的事,所以我们不仅会着重为大家网络安全相关的基础知识同时还会告诉大家如何保证您网站和用户的安全,以及您应当如何建立您和商家之间的信任。于此同时“如何用户在应用中如何不受可能存在的漏洞产生的影响”这也是每个开发人员应该思考的问题。所以身为技术人员的你应当积极主动的去巩固一些薄弱的网络安全基础知识可千万不要懈怠哦。
(网络安全)
1. 跨站点脚本(XSS)
当代码被客户端注入到原本可信的合法网站时,就会发生跨站点脚本或XSS。这允许攻击者在毫无戒心的最终用户上执行恶意代码。此类攻击通常发生在包含未以某种方式验证的用户输入的Web应用程序上。这可能会导致会话cookie被泄露,这意味着用户的会话可能被劫持。它还可以提示恶意程序的安装脚本,甚至欺骗网站的内容。将包含恶意脚本的文件上载到应用程序时,影响可能会很高。其后果包括完整的系统接管和客户端攻击。
如何保护您的应用:避免此漏洞的最佳方法是限制可以上传的文件类型。白名单过滤器,文件大小限制以及验证文件内容也是有效的方法。
2. 客户端状态操作
当服务器向Web客户端(浏览器)提供状态信息然后作为来自该客户端的HTTP请求的一部分传回时,就会发生客户端状态操作。
如何保护您的应用程序:为了安全起见,Web应用程序永远不应该信任Web客户端,并且应始终验证从它们收到的输入。隐藏的输入不应包含敏感信息,并且应该像任何其他输入一样进行验证,即使服务器正在生成存储在此隐藏输入中的信息。不要对敏感信息使用GET请求。而是存储会话ID并将其发送到客户端,而不是实际的数据值。使用“签名状态”并验证从客户端收到的任何输入,包括隐藏的输入。
3.跨站点请求伪造(CSRF)
CSRF(通常也称为XSRF)是指攻击者使用HTTP请求从其身份验证的其他站点访问用户信息。这些类型的攻击针对状态更改请求而不是数据窃取,因为攻击者无法看到对伪造请求的响应。CSRF可能是更改登录凭据或进行购买。由于服务器不够智能,无法查看请求是否有意,因此只需查看请求并执行即可。
如何保护您的应用:我们建议使用令牌。由于唯一令牌难以欺骗,因此可以根据请求发送并由站点验证,这可以防止尝试CSRF。您还可以验证随请求提交的原始标头。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明,否则将追究法律责任。https://blog.kokojia.com/joleen1006/b-1552.html