网站安全

近几年，互联网发生着翻天覆地的变化，尤其是我们一直习以为常的HTTP协议，在逐渐被HTTPS协议所取代，在浏览器、搜索引擎、CA机构、大型互联网企业的共同推动下，互联网迎来了“全网HTTPS加密新时代”企业站点目前已全面开启HTTPS模式, 就连个人博客、登陆 Apple App Store 的App和微信的小程序等，也已经启用了全站HTTPS。HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。 HTTP的高安全隐患 HTTP的传输特点是明文传输，任何经过HTTP协议传输的数据都是未加密，谁都能看到的传输数据。HTTP明文传输给页面劫持、页面篡改、数据泄露、mu马注入等黒客行为提供了便利，所以用户隐私泄露的风险非常高。 常见的几种危害比较大的中间内容劫持形式如下： 1、获取无线用户的手机号和搜索内容并私下通过电话广告骚扰用户。 2、获取用户账号cookie，盗取账号有用信息。 3、在用户目的网站返回的内容里添加第三方内容，比如广告、钓鱼链接、植入mu马等。 HTTPS加密了什么？ HTTPS（HypertextTransfer Protocol Secure）安全超文本传输协议，它是由Netscape开发并内置于其浏览器中，用于对数据进行加解密操作，并返回网络上传送回的结果。简单讲就是是HTTP的安全版，即HTTP下加入SSL层，在SSL层对请求数据进行加密

转自： http://www.cnblogs.com/jannock/archive/2008/07/25/1251180.html#_Toc204593430 安全开发手册（初稿） 目录 一、 输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式： 4 二、 输出编码 6 1. 输出的种类 6 2. 输出编码的必要性 6 3. 输出编码 6 4. 常用测试输出方法 8 三、 防止SQL注入 10 1. 什么是SQL注入 10 2. SQL注入的种类 10 3. 如何防止SQL注入 10 3.1 SQL注入产生的原因： 10 3.2主要防御方式： 10 3.3 辅助防御方式 12 四、 跨站脚本攻击 14 1. 什么是跨站脚本攻击 14 2. 跨站脚本攻击的危害 14 3. 如何防止跨站脚本攻击 14 3.1 主要防御方式 14 3.2 辅助防御方式 15 4．XSS漏洞另一个攻击趋势 15 五、 跨站请求伪造 17 1. 什么是跨站请求伪造 17 2. 跨站请求伪造的危害 17 3. 如何防止跨站请求伪造 17 3.1主要防御方式： 17 3．2辅助防御方式： 18 六、 越权操作 19 1. 什么是越权操作 19 2. 越权操作的危害 19 3. 如何防止越权操作 19 七、 IO操作安全 20

　　 最近在维护一些老项目，调试时发现请求屡屡被拒绝，仔细看了一下项目的源码，发现有csrf token校验，借这个机会把csrf攻击学习了一下，总结成文。本文主要总结什么是csrf攻击以及有哪些方法来防范，接下来会再写一篇文章，从源码中来学习一下实战中是如何防御csrf攻击的。 　　主要内容如下： 　　 什么是CSRF攻击 　　 几种常见的攻击类型 　　 CSRF的特点 　　 防护策略 　　 总结 1. 什么是CSRF攻击 　　CSRF(Cross-site request forgery)跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证(比如cookie)，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。 　　一个典型的CSRF攻击有着如下的流程： 受害者登录a.com，并保留了登录凭证(cookie)； 攻击者引诱受害者访问了b.com； b.com向a.com发送了一个请求：a.com/act=xx。浏览器会默认携带a.com的cookie； a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，会误以为是受害者自己发送的请求； a.com以受害者的名义执行act=xx； 攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作； 2.

前端安全问题主要有XSS、CSRF攻击。 XSS：跨站脚本攻击。它允许用户将恶意代码植入到提供给其他用户使用的页面中，即脚本注入。 XSS的防御措施： 1、过滤转义输入输出 2、避免使用eval、new Function等执行字符串的操作 3、使用cookie的heepOnly属性 4、使用innerHTML、document.write的时候，如果是用户输入的，需要过滤和转义 CSRF：跨站请求伪造。就是在网站中的一些提交行为，被黑客利用，在你访问黑客的网站的时候进行操作，会被操作操其他网站上。 CSRF的防御措施： 1、检测http referer是否是同域名 2、避免登录的session长时间存储在客户端中 3、关键请求使用验证码或者token机制 其他的攻击方法还有HTTP劫持、操作界面劫持 来源： https://www.cnblogs.com/sunww/p/11338511.html

前端安全 随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行“查漏补缺”。 近几年，美团业务高速发展，前端随之面临很多安全挑战，因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案，将会做成一个系列，希望可以帮助前端人员在日常开发中不断预防和修复安全漏洞。本文是该系列的第一篇。 本文我们会讲解 XSS ，主要包括： XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前，我们先提出一个问题，请判断以下两个说法是否正确： XSS 防范是后端 RD（研发人员）的责任，后端 RD 应该在所有用户提交数据的接口，对敏感字符进行转义，才能进行下一步操作。 所有要插入到页面上的数据，都要通过一个敏感字符过滤函数的转义，过滤掉通用的敏感字符后，就可以插入到页面中。 如果你还不能确定答案，那么可以带着这些问题向下看，我们将逐步拆解问题。

这里简单介绍一下，新手如何快速搭建起一个简易的网站，老鸟们请忽视； 1.注册域名： 我是在腾讯云注册的，这个在哪注册倒是无所谓，不过我们要的是“域名+服务器”，一般推荐你买同一家的。 腾讯云： 至于注册什么域名，这个看个人喜好，这里不再赘述。 域名购买界面： 注册完之后，别忘记备案，虽说某些步骤挺麻烦的，但没办法，这是规定，一步步来就好了； 2.配置服务器： 腾讯云服务器： 新手不需要多高的配置，出于资金方面的考虑，建议大家(学生)可以选择他们的"合作与生态——云+校园"： 点击“云+校园”： 从这里可以直接购买，云服务器一年大约120软妹币(国内其他云也差不多都是这个水平)； 购买完毕打开“控制台”，点击右边的“更多--配置安全组”： 这里可以自行配置(假如没有安全组，就需要自己添加一个,选择左边的安全组，点击“新建”)； 配置好之后把安全组绑定到服务器，就可以远程登录自己的服务器去看看了； Ps:Windows远程登录方法，按住"Win"+"R",输入“mstsc”就可以打开登录窗口(默认登录名是“Administrator”密码在购置服务器之后会给）； 服务器的操作系统很多，鉴于其他系统都不太熟悉，我选择了Windows server 2012,感觉不太好看(Win server2008更难看)，实在受不了，我就重装了一下，改为Windows server2016数据中心版