首页 网络安全 网站防护 查看内容

Web安全的重要性(面试必备),被黑无数次还不怕吗?

2019-11-13 09:13 |来自: 互联网 1970 0

摘要: web安全到底多重要? 早在 PC 崛起之际,Web 从蹒跚学步一路走到了主导市场的地位,但是随着移动互联网时代的来临,业界曾有不少人猜测,“Web 应该被杀死,App 才是未来”。不过时间是检验真理的唯一标准,Web 非但未死于移动时代,更将于万物互联网时代迎来新的机遇。如果我们暂时将浮华耀眼的黑科技 ...
关键词: 同源 站点 预防策略 攻击 用户 服务器 Cookie 页面 验证 黑客

web安全到底多重要?

早在 PC 崛起之际,Web 从蹒跚学步一路走到了主导市场的地位,但是随着移动互联网时代的来临,业界曾有不少人猜测,“Web 应该被杀死,App 才是未来”。不过时间是检验真理的唯一标准,Web 非但未死于移动时代,更将于万物互联网时代迎来新的机遇。


如果我们暂时将浮华耀眼的黑科技搁置一边,过滤掉不可企及的未来主义想法,比如太空旅行、自动驾驶汽车等,那么你会发现,最受关注的技术将与Web开发有关。


Web和移动开发是一个每年都不断发展和创新的领域,它不仅改变了人们处理个人、社交和相关业务的方式,而且使软件开发人员更容易高效地创建解决方案。


因此,决策者必须熟悉新的趋势,以提高他们的知识,并在日益激烈的竞争中保持他们的地位。今天,我们将讨论改变软件开发行业的十大趋势。


Web开发是一个永远不会退出历史舞台的行业。事实上,随着新技术的到来,它将会随着时间不断地发展和更新,Web安全也是我们不可忽视的问题。

那么什么是web安全?

打开个网页随便浏览浏览,账号就被盗了,路由器就被黑了,可能么?非常有可能!


同源策略

如果两个 URL 的协议、域名和端口都相同,我们就称这两个 URL 同源。

  • 同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作。
  • 同源策略限制了不同源的站点读取当前站点的 Cookie、IndexDB、LocalStorage 等数据。
  • 同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点。

解决同源策略的方法:

  • 跨文档消息机制:可以通过 window.postMessage 的 JavaScript 接口来和不同源的 DOM 进行通信。
  • 跨域资源共享(CORS):跨域资源在服务端设置允许跨域,就可以进行跨域访问控制,从而使跨域数据传输得以安全进行。
  • 内容安全策略(CSP):主要以白名单的形式配置可信任的内容来源,在网页中,能够使白名单中的内容正常执行(包含 JS,CSS,Image 等等),而非白名单的内容无法正常执行。

XSS,跨站脚本攻击(Cross Site Scripting)

存储型 XSS 攻击

利用漏洞提交恶意 JavaScript 代码,比如在input, textarea等所有可能输入文本信息的区域,输入等,提交后信息会存在服务器中,当用户再次打开网站请求到相应的数据,打开页面,恶意脚本就会将用户的 Cookie 信息等数据上传到黑客服务器。

反射型 XSS 攻击

用户将一段含有恶意代码的请求提交给 Web 服务器,Web 服务器接收到请求时,又将恶意代码反射给了浏览器端,这就是反射型 XSS 攻击。 在现实生活中,黑客经常会通过 QQ 群或者邮件等渠道诱导用户去点击这些恶意链接,所以对于一些链接我们一定要慎之又慎。

Web 服务器不会存储反射型 XSS 攻击的恶意脚本,这是和存储型 XSS 攻击不同的地方。

基于 DOM 的 XSS 攻击

基于 DOM 的 XSS 攻击是不牵涉到页面 Web 服务器的。它的特点是在 Web 资源传输过程或者在用户使用页面的过程中修改 Web 页面的数据。比如利用工具(如Burpsuite)扫描目标网站所有的网页并自动测试写好的注入脚本等。

预防策略

  1. 将cookie等敏感信息设置为httponly,禁止Javascript通过document.cookie获得
  2. 对所有的输入做严格的校验尤其是在服务器端,过滤掉任何不合法的输入,比如手机号必须是数字,通常可以采用正则表达式.
  3. 净化和过滤掉不必要的html标签,比如:
本文出处: https://www.toutiao.com/a6758292828280848907/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部