1 . XSS
如果必须动态生成DOM :
- string --> DOM (对string进行转译)
- 用户上传 svg (对svg文件进行扫描)
- 对用户自定义进行的跳转进行检查
2 . CSP 内容安全策略
补充 : Same-origin Policy 同源策略
两个URL的协议、域名、端口必须都相等
3 . CSRF 跨站伪造请求防御
4 . CSFR--token防御
5 . CSFR--iframe 攻击
6 . 避免用户信息被携带 SameSite Cookie(根源解决)
限制的是 Cookie 的 domain 属性 ,和当前页面域名是否匹配
区别 SameSite Cookie 和 CORS
7 . SQL Ingection 防御
防御类型 :
8 . DoS 防御
9 . DDoS 防御
10 . 传输层防御(中间人)
HTTPS的特性:
TLS握手:
HTTPS特性--完整性:
HTTPS特性--数字签名:
HTTPS特性--不可抵赖性(数字签名):
**成也证书,败也证书: **
HTTP升级为HTTPS?
静态资源被篡改:
注意事项:
