一分钟系列之如何防范常见的攻击

这两年，微服务架构火了。在国内，从消费级互联网应用，到企业级应用；从金融领域，到电信领域；从新开发系统到已经开发了十几二十年的遗留系统；一夜之间，好像所有的团队都在谈微服务。

平时经常听到人们说别乱点链接，小心有病毒。还有长辈们转发的 “天呐~ XXX 的阴谋，全是病毒”、“XXX 惊天大病毒，点了苹果手机就要爆炸！”、“现在转发热门连接会乱扣费！千万别点！”。底长辈们说的这些是对的还是错的，是真的还是假的？下面我用通俗易懂的语言为大家剖析。

近期，Github被爆出，在内部日志中记录了明文密码。 虽然据说影响面很小（因为日志外部访问不到），但是网络和数据安全问题又一次被放到台面上。大多数用户的常用密码就那么几个，一旦被黑客拿到，去其他网站“撞库”，可能会造成用户的财产损失。 本篇文章主要介绍如何加密传输和存储用户密…

CSRF攻击涉及用户受害者,受信任的网站和恶意网站。当受害者与受信任的站点拥有一个活跃的会话同时，如果访问恶意网站，恶意网站会注入一个HTTP请求到为受信任的站点，从而破话用户的信息。 CSRF 攻击总是涉及到三个角色:信赖的网站（Collabtive）、受害者的 sessio…

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

在 MVC.xml 配置文件中为某些请求配置了拦截器，拦截之后生成 CSRFToken 或 验证。如果某个操作仅仅是一个 js 事件，而不是请求呢？这样的事件无法被拦截。此时，采用 Ajax，它可以主动发起请求。

CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作，有很大的危害性。然而，该攻击方式并不为大家所熟知，很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性，然后就目前常用的几种防御方法进行分析，比较其优劣。最后，本文将以实例展示如何在网站中防御 CSRF 的攻击，并分享一些开发过程中的最佳实践。

数字签名、信息加密 是前后端开发都经常需要使用到的技术，应用场景包括了用户登入、交易、信息通讯、oauth 等等，不同的应用场景也会需要使用到不同的签名加密算法，或者需要搭配不一样的 签名加密算法 来达到业务目标。这里简单的给大家介绍几种常见的签名加密算法和一些典型场景下的应用…