win7系統(tǒng)下載
當(dāng)前位置: 首頁(yè) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁(yè)面

Web應(yīng)用的10大主動(dòng)安全措施的內(nèi)容

發(fā)布時(shí)間:2022-07-22 文章來(lái)源:xp下載站 瀏覽:

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專(zhuān)家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。

在web中的應(yīng)用有著十大主動(dòng)的安全措施,不知道網(wǎng)友們知不知道呢?這些可是保障著系統(tǒng)和瀏覽器安全的好的方法呢?我們一起去看看吧!

 

1:Content-Security-Policy

    Content Security Policy是Mozilla為了提高瀏覽器安全性開(kāi)發(fā)的一套新的安全機(jī)制,該機(jī)制讓網(wǎng)站可以定義內(nèi)容安全政策,明確告知瀏覽器哪些內(nèi)容是合法的,讓瀏覽器得以避開(kāi)惡意內(nèi)容。CSP主要鎖定解決XSS及跨站冒名請(qǐng)求(Cross Site Request Forgery)等網(wǎng)絡(luò)應(yīng)用程序漏洞。強(qiáng)烈建議用戶將該告警打開(kāi),你可以看到哪些數(shù)據(jù)在干壞事。

    在Web上,此策略是通過(guò)HTTP頭或meta元素定義的。在Chrome擴(kuò)展系統(tǒng)中,不存在這兩種方式。擴(kuò)展是通過(guò)manifest.json文件定義的:

 {

         …,

         “content_security_policy”: “[POLICY STRING GOES HERE]“

         …

 }

 關(guān)于CSP語(yǔ)法的詳細(xì)信息,請(qǐng)參考W3C的 Content Security Policy 規(guī)范。

 2:設(shè)置X-Frame

    所有的現(xiàn)代瀏覽器都支持X-Frame-Options HTTP頭,這個(gè)頭允許頁(yè)面被iframe使用時(shí)是否正常渲染。通過(guò)使用X-FRAME-OPTIONS偽指令,Web開(kāi)發(fā)人員可以立即幫助IE8用戶減輕來(lái)自各種Web 應(yīng)用程序攻擊的威脅。

 使用X-Frame-Options 有兩種可能的值: 

 

DENY :該頁(yè)無(wú)法顯示在一個(gè)框架中.

 SAMEORIGHT :頁(yè)面只能顯示在頁(yè)面本網(wǎng)站的框架中.

    換句話說(shuō),通過(guò)<IFRAME>/<FRAME> 框架加載頁(yè)面,如果你指定DENY,不僅會(huì)嘗試加載在一個(gè) 框架頁(yè)面失敗,其它網(wǎng)站加載也會(huì)失敗。 另一方面,如果你指定 SAMEOptions ORIGHT, 其它網(wǎng)站加載會(huì)失敗。

 3:防止CSRF跨站攻擊

    建議在每個(gè)表單驗(yàn)證的地方加上隨機(jī)的token,這樣能夠防止用戶被CSRF攻擊。關(guān)于CSRF跨站請(qǐng)求攻擊防護(hù),F(xiàn)REEBUF上曾有同學(xué)寫(xiě)過(guò)詳細(xì)的文章,可以查看

 4:DAL (data/database access layer)

    DALS  能夠有效的防止SQL注入,但是很少有公司知道如何正確的使用,雖然DALS改造比較復(fù)雜,但是因?yàn)槊恳粋(gè)單一的數(shù)據(jù)庫(kù)調(diào)用需要的修改和插入等操作都在DAL層操作,所以從底層上杜絕的SQL注入的產(chǎn)生。

 5:文件系統(tǒng)禁止寫(xiě)入

    正確的設(shè)置CONFIG文件,設(shè)置網(wǎng)站的用戶無(wú)法在文件系統(tǒng)上寫(xiě)入文件。

 6:安全日志審計(jì)

    日志信息能夠很快的幫助用戶發(fā)現(xiàn)攻擊者的蹤跡,可以通過(guò)一些日志分析系統(tǒng)對(duì)IIS、APACHE、NGINX、WINDOWS、LINUX等日志進(jìn)行實(shí)時(shí)的分析,如OSSEC、ZABBIX等,構(gòu)建攻擊特征庫(kù),發(fā)現(xiàn)攻擊行為第一時(shí)間產(chǎn)生告警。

 7:加密存儲(chǔ)

    從之前的CSDN、世紀(jì)佳緣等著名站點(diǎn)被脫褲事件中可以看出,很多站點(diǎn)仍然采用明文的方式存儲(chǔ)用戶密碼,采用一個(gè)過(guò)時(shí)的HASH算法,攻擊者可以很輕松的獲取到用戶的相關(guān)信息,而有的站點(diǎn)很多的功能依賴(lài)于現(xiàn)有的數(shù)據(jù)庫(kù)設(shè)計(jì)和相關(guān)的結(jié)構(gòu)化數(shù)據(jù),導(dǎo)致后期更改用戶的哈希算法非常棘手。

 8:SSL、COOKIE設(shè)置HTTPONLY和STS

    任何一個(gè)網(wǎng)站,如果不支持SSL加密傳輸,非常容易遭受到中間人攻擊。COOKIE沒(méi)有設(shè)置HTTPONLY和STS,也非常容易遭受到跨站攻擊。

 9:構(gòu)建安全框架

    構(gòu)建一個(gè)適合企業(yè)自己的安全框架,程序員在寫(xiě)程序的時(shí)候調(diào)用安全框架,過(guò)濾用戶的一切有害輸入,如XSS、SQLI、命令注入等等,可以從一定程度上降低安全風(fēng)險(xiǎn)。

 10:設(shè)置autocomplete=off和強(qiáng)密碼

    AutoComplete控件就是指用戶在文本框輸入前幾個(gè)字母或是漢字的時(shí)候,該控件就能從存放數(shù)據(jù)的文本或是數(shù)據(jù)庫(kù)里將所有以這些字母開(kāi)頭的數(shù)據(jù)提示給用戶,供用戶選擇,提供方便。但是在方便的同時(shí)也可能帶來(lái)一定的安全風(fēng)險(xiǎn),攻擊者可能獲取用戶鍵入的一些歷史信息,比如密碼等。

 

    以上就是關(guān)于在web中的十大安全措施;不要小看這些安全措施哦,它們卻是保障瀏覽器安全行駛的重要“能手“呢!大家一起去了解下吧!看看它們強(qiáng)大的功能吧!


網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

本文章關(guān)鍵詞: 用的 十大 主動(dòng) 安全措施 內(nèi)容 
主站蜘蛛池模板: 久久青青色综合| 婷婷综合久久中文字幕蜜桃三电影| 伊人久久综合成人网| 在线综合亚洲中文精品| 欧美综合自拍亚洲综合图片区| 色欲香天天综合网站| 成人伊人亚洲人综合网站222| 久久综合欧美成人| 一本色道久久综合亚洲精品| 天天干天天射综合网| 久久综合久久综合久久| 欧美日韩国产综合新一区| 国产精品天干天干在线综合| 久久综合狠狠综合久久97色| 亚洲综合无码AV一区二区| 久久综合久久综合亚洲| 久久婷婷午色综合夜啪| 国产色综合天天综合网| 亚洲va欧美va天堂v国产综合| 久久青青色综合| 日韩亚洲人成在线综合日本| 久久综合久久鬼色| 婷婷综合久久中文字幕蜜桃三电影| 色诱久久久久综合网ywww| 色综合久久久久| 亚洲欧洲日韩国产综合在线二区 | 亚洲精品综合久久| 亚洲综合av永久无码精品一区二区 | 亚洲精品综合在线影院| 狠狠色丁香久久综合婷婷| 亚洲第一区欧美国产不卡综合 | 日本伊人色综合网| 欧美色综合天天综合高清网| 一本色道久久99一综合| 久久综合给合久久狠狠狠97色| 国产成+人+综合+亚洲专| 亚洲欧美日韩国产综合一区二区| 伊伊人成亚洲综合人网7777| 伊人久久成人成综合网222| 国产成人综合久久精品红| 欧美综合区自拍亚洲综合天堂 |