web安全的三要素

• 機密性

  -數據不能泄露-手段：加密 復制代碼

• 完整性

  -數據是完整的，沒有被篡改-手段：數字簽名 復制代碼

• 可用性

  -服務應該隨時可用-分布式拒絕攻擊(?) 復制代碼

同源策略

• 同源策略是由網景公司提出的一種安全策略，
• 是web安全的基礎，由瀏覽器實現，
• 指的是當瀏覽器執行一段腳本時會判斷是否來自同源，如果是執行，如果不是會在瀏覽器報一個異常，表示拒絕訪問，
• 同源（ Origin）指的是，同協議，域名（或ip），端口
• cookie，DOM，XmlHttpRequest

為什么要使用同源策略？

你正在訪問bank.com,輸入用戶名密碼，登錄成功，服務器返回cookie，瀏覽器存儲下來，這時候又打開一個a.com,a.com是個黑客網站，執行了一段JavaScript從瀏覽器中取得了cookie，這時候黑客就可以假冒你來登錄bank.com了 復制代碼

給這個策略撕開個口子

有的時候我們自己需要在本源中訪問其他源的該怎么辦呢？ -例外情況，訪問其他源 <script> <image><iframe><link> -這些加載進來的文件，瀏覽器認為他們的源是 當前網頁的 復制代碼

突破同源策略

• 后端服務器轉發 發給自己后端服務器，服務器去訪問其他源，并把結果返回到界面 -
• JSONP
• 跨域資源訪問 瀏覽器和服務器之間的強約定，瀏覽器會自動在http header 里加上不同源地址發送到服務器，服務器添加代碼判斷是否認可，下面鏈接有詳細說明 www.ruanyifeng.com/blog/2016/0…

保護密碼

明文存儲 2012年csdn密碼泄露事件，600萬密碼泄露 復制代碼

密碼hash

• 原始密碼經過hash 后得到一個hash值
• 這個hash值單項不可逆
• 相同的密碼，得到的hash值相同
• 密碼只存hash值，還是不安全，有人的密碼設置非常簡單，密碼可以通過彩虹表撞庫的方式撞出來

加點鹽

• 讓密碼hash隨機化
• （salt+密碼）=》hash值
• blog.coderzh.com/2016/01/10/…

web安全

sql注入

XSS（跨站腳本攻擊）

CSRF（跨站腳本偽造）

Session Fixation

轉載于:https://juejin.im/post/5c6ed95151882561de4aadd5

總結

以上是生活随笔為你收集整理的Web 安全的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。