什麼是Web安全？Web安全主要分為哪幾個方面？

　　如果你有網站開發的相關經驗，一定知道網站安全是在構建網站時必須要考慮的一點，網站安全在於伺服器的安全配置管理以及程式指令碼的完善性，那Web安全主要包括哪些方面的安全呢?我們又該注重哪些方面?請看下文：

　　Web安全主要分為：保護伺服器及資料安全、保護伺服器和使用者之間傳遞的資訊保安、保護Web應用客戶端及其環境安全三個方面。

　　Web應用安全問題的出現，主要源於軟體質量問題，但Web應用相比傳統的軟體，獨特性更高。

　　Web應用往往是獨有的應用，對所存在的漏洞、已知的通用漏洞簽名缺乏有效性，需要頻繁變更以滿足業務目標，從而使得很難維持有序的開發週期，需要全面考慮客戶端與服務端的複雜互動場景，而往往很多開發者沒有很好地理解業務流程;人們通常認為Web開發比較簡單，缺乏經驗的開發者也可以勝任。

　　Web應用安全，理想情況下應該在軟體開發生命週期遵循安全編碼原則，並在各階段採取相應的安全措施。

　　對於常見的Web應用漏洞，可以從以下幾個方面進行防禦：

　　⑴ 對於Web應用開發者而言

　　大部分常見漏洞都是在Web應用開發中出現的，因開發者並沒有對使用者所輸入的引數檢測或檢測不完善導致，因此，開發者應樹立安全意識，在開發過程中編寫安全程式碼，對使用者提交的URL、關鍵詞、HTTP頭、POST資料等進行嚴格的限制和檢測，可設定接受一定長度範圍內，採用適當格式及編碼字元，阻塞、過濾或忽略其他任何字元。

　　透過編寫安全的應用程式碼，可以消除大部分Web應用安全問題。

　　⑵ 對Web網站管理員而言

　　作為負責網站日常維護管理工作Web管理員，應及時跟蹤並安裝最新的、支撐Web網站執行的各種軟體的安全補丁，確保攻擊者無法透過軟體漏洞對網站進行攻擊。

　　除了軟體本身的漏洞外，Web伺服器、資料庫等不正確的配置也可能導致Web應用安全問題。Web網站管理員應該對網站各種軟體配置進行仔細檢測，降低安全問題的出現可能。

　　此外，Web管理員還應該定期審計Web伺服器日誌，檢測是否存在異常訪問，及早發現潛在的安全問題。

　　⑶ 使用網路防攻擊裝置

　　前兩種為事前預防方式，是比較理想化的情況。然而在現實中，Web應用系統的漏洞還是不可避免的存在：部分Web網站已經存在大量的安全漏洞，而Web開發者和網站管理員並沒有意識到或發現這些安全漏洞。

　　由於Web應用是採用HTTP協議，普通的防火牆裝置無法對Web類攻擊進行防禦，因此可以使用入侵防禦裝置來實現安全防護。