Web安全

保障Web安全常见的处理方式如下：

物理隔离

传输安全

• 协议安全 尽量使用安全的传输协议，如https。
• 数据传输安全
  • Get方式：数据附加在发送的URL请求中，可通过Wireshark等获取且URL传输有长度限制。
  • Post方式：数据在body中发送，相对安全。

预防XSS攻击

XSS 跨站脚本攻击

• Web输入框做数据验证，禁止 特殊字符输入，防止用户在 输入框中写js脚本
• 后台存储数据时必须加密存储，防止恶意用户绕过前端，直接操作后台数据
• 后台加载数据时必须做转化，将包含JS脚本的数据转换为安全脚本，防止恶意js脚本在前端被渲染

预防CSRF/XSRF攻击

CSRF 跨站请求伪造

• 后台验证reffer，源
• 加入token，双重防止CSRF攻击

预防SQL注入

通过前端输入特定的字符，如数据字典、select等，如果后端没有做好查询参数化等验证，那么就可以通过SQL获取到用户的关键信息，比如用户密码等。

• 前端输入参数验证，防止特定的字符输入。
• 前端JS验证，特定的数据流传入后台。
• 后端查询必须参数化。
• 后端严禁字符串拼接SQL。