现在对于网站开发人员来说需要学会应对各种的挑战,例如可访问性,响应式设计和安全性等,但在实际的开发中这些东西有时会被忽视或被忽略,特别是在网站的安全方面。从目前的网站注册调查来看数据泄露是用户最关心的事,因此每个开发人员应该知道的一些基本安全基础知识,例如如何用户免受应用中可能存在的漏洞的影响。而在这篇文章中我们将为大家介绍网站开发人员应该了解的网络安全基础知识,将告诉大家如何保证您网站和用户的安全,以及您如何建立您和商家之间的信任。
当代码被客户端注入到原本可信的合法网站时,就会发生跨站点脚本或XSS。这允许攻击者在毫无戒心的最终用户上执行恶意代码。此类攻击通常发生在包含未以某种方式验证的用户输入的Web应用程序上。这可能会导致会话cookie被泄露,这意味着用户的会话可能被劫持。它还可以提示恶意程序的安装脚本,甚至欺骗网站的内容。将包含恶意脚本的文件上载到应用程序时,影响可能会很高。其后果包括完整的系统接管和客户端攻击。
如何保护您的应用:避免此漏洞的最佳方法是限制可以上传的文件类型。白名单过滤器,文件大小限制以及验证文件内容也是有效的方法。
当服务器向Web客户端(浏览器)提供状态信息然后作为来自该客户端的HTTP请求的一部分传回时,就会发生客户端状态操作。
如何保护您的应用程序:为了安全起见,Web应用程序永远不应该信任Web客户端,并且应始终验证从它们收到的输入。隐藏的输入不应包含敏感信息,并且应该像任何其他输入一样进行验证,即使服务器正在生成存储在此隐藏输入中的信息。不要对敏感信息使用GET请求。而是存储会话ID并将其发送到客户端,而不是实际的数据值。使用“签名状态”并验证从客户端收到的任何输入,包括隐藏的输入。
CSRF(通常也称为XSRF)是指攻击者使用HTTP请求从其身份验证的其他站点访问用户信息。这些类型的攻击针对状态更改请求而不是数据窃取,因为攻击者无法看到对伪造请求的响应。
CSRF的一个示例可能是更改登录凭据或进行购买。由于服务器不够智能,无法查看请求是否有意,因此只需查看请求并执行即可。
如何保护您的应用:我们建议使用令牌。由于唯一令牌难以欺骗,因此可以根据请求发送并由站点验证,这可以防止尝试CSRF。您还可以验证随请求提交的原始标头。
以上就是网站开发人员应该了解的网络安全基础知识
上一篇:网站获得更多转换的三大原因
下一篇:如何延长用户访问电商网站的时间
在线客服
