web安全的三要素

• 機(jī)密性

  -數(shù)據(jù)不能泄露-手段：加密 復(fù)制代碼

• 完整性

  -數(shù)據(jù)是完整的，沒有被篡改-手段：數(shù)字簽名 復(fù)制代碼

• 可用性

  -服務(wù)應(yīng)該隨時可用-分布式拒絕攻擊(?) 復(fù)制代碼

同源策略

• 同源策略是由網(wǎng)景公司提出的一種安全策略，
• 是web安全的基礎(chǔ)，由瀏覽器實(shí)現(xiàn)，
• 指的是當(dāng)瀏覽器執(zhí)行一段腳本時會判斷是否來自同源，如果是執(zhí)行，如果不是會在瀏覽器報一個異常，表示拒絕訪問，
• 同源（ Origin）指的是，同協(xié)議，域名（或ip），端口
• cookie，DOM，XmlHttpRequest

為什么要使用同源策略？

你正在訪問bank.com,輸入用戶名密碼，登錄成功，服務(wù)器返回cookie，瀏覽器存儲下來，這時候又打開一個a.com,a.com是個黑客網(wǎng)站，執(zhí)行了一段JavaScript從瀏覽器中取得了cookie，這時候黑客就可以假冒你來登錄bank.com了 復(fù)制代碼

給這個策略撕開個口子

有的時候我們自己需要在本源中訪問其他源的該怎么辦呢？ -例外情況，訪問其他源 <script> <image><iframe><link> -這些加載進(jìn)來的文件，瀏覽器認(rèn)為他們的源是 當(dāng)前網(wǎng)頁的 復(fù)制代碼

突破同源策略

• 后端服務(wù)器轉(zhuǎn)發(fā) 發(fā)給自己后端服務(wù)器，服務(wù)器去訪問其他源，并把結(jié)果返回到界面 -
• JSONP
• 跨域資源訪問 瀏覽器和服務(wù)器之間的強(qiáng)約定，瀏覽器會自動在http header 里加上不同源地址發(fā)送到服務(wù)器，服務(wù)器添加代碼判斷是否認(rèn)可，下面鏈接有詳細(xì)說明 www.ruanyifeng.com/blog/2016/0…

保護(hù)密碼

明文存儲 2012年csdn密碼泄露事件，600萬密碼泄露 復(fù)制代碼

密碼hash

• 原始密碼經(jīng)過hash 后得到一個hash值
• 這個hash值單項(xiàng)不可逆
• 相同的密碼，得到的hash值相同
• 密碼只存hash值，還是不安全，有人的密碼設(shè)置非常簡單，密碼可以通過彩虹表撞庫的方式撞出來

加點(diǎn)鹽

• 讓密碼hash隨機(jī)化
• （salt+密碼）=》hash值
• blog.coderzh.com/2016/01/10/…

web安全

sql注入

XSS（跨站腳本攻擊）

CSRF（跨站腳本偽造）

Session Fixation

轉(zhuǎn)載于:https://juejin.im/post/5c6ed95151882561de4aadd5

總結(jié)

以上是生活随笔為你收集整理的Web 安全的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。