如何保證資料安全
- 使用https協議
- 後端密碼加密
- 使用token驗證
- 請求籤名,防止引數被篡改
- APP中使用ssl pinning防止抓包操作
- 對所有請求和響應都做加解密操作
xss攻擊
XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。
XSS攻擊的危害包括:
- 盜取各類使用者帳號,如機器登入帳號、使用者網銀帳號、各類管理員帳號
- 控制企業資料,包括讀取、篡改、新增、刪除企業敏感資料的能力
- 盜竊企業重要的具有商業價值的資料
- 非法轉賬
- 強制傳送電子郵件
- 網站掛馬
- 控制受害者機器向其它網站發起攻擊
xss攻擊如何防護
解決該問題的核心思路就是對使用者資料做嚴格處理,對任何頁面傳遞的資料都不應過分信任
- 前端過濾,攔截可疑字元
- 後端寫過濾器攔截來實現,這個過濾器應該放在第一位
- 後端不能相信前端傳遞過來的引數,必須對引數進行校驗