Web 安全

java手拉手
137 阅读2分钟

web安全的三要素

  • 机密性

      -数据不能泄露
  -手段:加密

  • 完整性

       -数据是完整的,没有被篡改
   -手段:数字签名

  • 可用性

       -服务应该随时可用
   -分布式拒绝攻击(?)

同源策略

  • 同源策略是由网景公司提出的一种安全策略,
  • 是web安全的基础,由浏览器实现,
  • 指的是当浏览器执行一段脚本时会判断是否来自同源,如果是执行,如果不是会在浏览器报一个异常,表示拒绝访问,
  • 同源( Origin)指的是,同协议,域名(或ip),端口
  • cookie,DOM,XmlHttpRequest

为什么要使用同源策略?

你正在访问bank.com,输入用户名密码,登录成功,服务器返回cookie,浏览器存储下来,这时候又打开一个a.com,a.com是个黑客网站,执行了一段JavaScript从浏览器中取得了cookie,这时候黑客就可以假冒你来登录bank.com了

给这个策略撕开个口子

有的时候我们自己需要在本源中访问其他源的该怎么办呢?
-例外情况,访问其他源  <script> <image><iframe><link>
-这些加载进来的文件,浏览器认为他们的源是 当前网页的

突破同源策略

  • 后端服务器转发 发给自己后端服务器,服务器去访问其他源,并把结果返回到界面 -
  • JSONP
  • 跨域资源访问 浏览器和服务器之间的强约定,浏览器会自动在http header 里加上不同源地址发送到服务器,服务器添加代码判断是否认可,下面链接有详细说明 www.ruanyifeng.com/blog/2016/0…

保护密码

明文存储 2012年csdn密码泄露事件,600万密码泄露

密码hash

  • 原始密码经过hash 后得到一个hash值
  • 这个hash值单项不可逆
  • 相同的密码,得到的hash值相同
  • 密码只存hash值,还是不安全,有人的密码设置非常简单,密码可以通过彩虹表撞库的方式撞出来

加点盐

web安全

  1. sql注入

  2. XSS(跨站脚本攻击)

  3. CSRF(跨站脚本伪造)

  4. Session Fixation

avatar
文章
阅读
粉丝