A. web前端和web安全有聯系嗎
1、web安全主要是針對網站、資料庫這一類的互聯網網站攻擊行為的防禦。
2、前端、後端、資料庫、網路等,與Web安全都有關系
B. 前後端分類,數據傳輸問題
目前我所知道的項目開發中,基本上都是前後端分離的。這就出現了數據傳輸的問題,前端傳給伺服器 或者 伺服器傳給前端的數據都是容易被別人竊取的。這里就要對傳輸的數據進行加解密,以保證數據安全。
下面介紹兩種前後端數據傳輸的方式
前後端約定一個key,將請求參數按照字母排序拼接成一個字元串(通常都是ASCll排序),然後拼接上key,最後用MD5或者SHA進行加密,得到一個加密的簽名sign,再把sign作為最後一個參數傳到服務端。
服務端拿到前端傳過來的結果之後,也將參數(排除sign)按照順序拼接成一個字元串,再拼接上key,再用MD5或者SHA進行加密,也得到了一個新的sign,服務端比較這兩個sign,如果相同就說明傳回來的數據沒有問題,如果不相同,說明數據被串改了。
例如:
傳遞的參數是
id=5&age=10
現在通過加簽 應該傳遞的參數為
id=5&age=10&sign=MD5(age=10&id=5)
服務端拿到的就是
id=5&age=10&sign=MD5(age=10&id=5)
服務端經過篩選參數,得到 id=5&age=10 ,然後進行排序得到 age=10&id=5 ,再MD5得到sign,兩個sign進行比較
目前我知道的根據秘鑰的使用方法,可以將密碼分為兩種
在對稱密碼中,加密、解密時使用的是同一個密鑰,我們常用的AES演算法就是對稱密碼演算法。具體AES演算法大家自己網路就好了
但是通常使用對稱密碼時,就會有秘鑰配送問題。
例:發送者A將使用對稱密碼加密過得信息發送給接收者B,只有將秘鑰發送給接收者B,B才能進行解密,這里A發送秘鑰給B的過程中,就容易被別人竊取秘鑰,別人拿著秘鑰也能進行解密。
如何解決秘鑰配送問題
我知道的幾種解決方法
公鑰密碼
公鑰密碼中,密鑰分為加密密鑰、解密密鑰2種,它們並不是同一個密鑰。
目前使用最廣泛的公鑰密碼演算法是RSA
加密密鑰,一般是公開的,因此該密鑰稱為公鑰(public key)
解密密鑰,由消息接收者自己保管的,不能公開,因此也稱為私鑰(private key)
公鑰和私鑰是一 一對應的,是不能單獨生成的,一對公鑰和密鑰統稱為密鑰對(key pair)
由公鑰加密的密文,必須使用與該公鑰對應的私鑰才能解密
由私鑰加密的密文,必須使用與該私鑰對應的公鑰才能解密
1.由消息的接收者,生成一對公鑰、私鑰
2.將公鑰發給消息的發送者
3.消息的發送者使用公鑰加密消息
混合密碼系統
不能很好地解決密鑰配送問題
加密解密速度比較慢
混合密碼系統,是將對稱密碼和公鑰密碼的優勢相結合的方法,解決了公鑰密碼速度慢的問題,並通過公鑰密碼解決了對稱密碼的密鑰配送問題
會話密鑰(session key)為本次通信隨機生成的臨時密鑰,作為對稱密碼的密鑰,用於加密信息,提高速度
發送出去的內容包括
前端A >>>>> 伺服器端B
發送過程,加密過程
接收過程,解密過程
文章參考了 猿天地的再談前後端API簽名安全? 和李明傑的底層原理iOS簽名機制
C. 保證資料庫安全的一般方法包括哪四種
1.資料庫用戶的管理,按照資料庫系統的大小和資料庫用戶所需的工作量,具體分配資料庫用戶的數據操作許可權,控制系統管理員用戶賬號的使用。
2.建立行之有效的資料庫用戶身份確認策略,資料庫用戶可以通過操作系統、網路服務以及資料庫系統進行身份確認,通過主機操作系統進行用戶身份認證。
3.加強操作系統安全性管理,數據伺服器操作系統必須使用正版軟體,同時要有防火牆的保護。
4.網路埠按需開放,根據實際需要只開放涉及業務工作的具體網路埠,屏蔽其它埠,這樣可以在較大程度上防止操作系統受入侵。
D. HTML5技術分享 淺談前端安全以及如何防範
隨著互聯網的發達,各種WEB應用也變得越來越復雜,滿足了用戶的各種需求,但是隨之而來的就是各種網路安全的問題。作為前端開發行業的我們也逃不開這個問題。所以今天我就簡單聊一聊WEB前端安全以及如何防範。
首先前端攻擊都有哪些形式,我們該如何防範?
一、XSS攻擊
XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植 入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻 擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型 的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。
XSS攻擊的危害包括:
1、盜取各類用戶帳號,如機器登錄帳號、用戶網銀帳號、各類管理員帳號
2、控制企業數據,包括讀取、篡改、添加、刪除企業敏感數據的能力
3、盜竊企業重要的具有商業價值的資料
4、非法轉賬
5、強制發送電子郵件
6、網站掛馬
7、控制受害者機器向其它網站發起攻擊
XSS攻擊的具體表現:
1、JavaScript代碼注入
下面是代碼的頁面
2 接著,我們在cheat.php這個網站上面,將跳轉過來的源網頁地址悄悄的進行修改。
於是,在用戶訪問了我們的欺騙網站後,之前的tab已經悄然發生了變化,我們將其悄悄的替換為了釣魚的網站,欺騙用戶輸入用戶名、密碼等。
3 我們的釣魚網站,偽裝成XX空間,讓用戶輸入用戶名與密碼
這種釣魚方式比較有意思,重點在於我們比較難防住這種攻擊,我們並不能將所有的頁面鏈接都使用js打開。所以,要麼就將外鏈跳轉的連接改為當前頁面跳轉,要麼就在頁面unload的時候給用戶加以提示,要麼就將頁面所有的跳轉均改為window.open,在打開時,跟大多數釣魚防治殊途同歸的一點是,我們需要網民們的安全意識提高。
六、我們平時開發要注意些什麼?
開發時要提防用戶產生的內容,要對用戶輸入的信息進行層層檢測要注意對用戶的輸出內容進行過濾(進行轉義等)重要的內容記得要加密傳輸(無論是利用https也好,自己加密也好)
get與post請求,要嚴格遵守規范,不要混用,不要將一些危險的提交使用jsonp完成。
對於URL上攜帶的信息,要謹慎使用。心中時刻記著,自己的網站哪裡可能有危險。
E. 一年經驗Web前端轉Web安全可行嗎
web前端和web安全還是有區別的,前端的工作主要是設計用戶瀏覽的頁面,而web安全主要負責程序的安全,以及web伺服器的安全,網站數據的安全問題。如果說是後端轉做安全的哈還要好點,因為後端懂得web程序以及資料庫等知識,相對容易一點。
F. 初學JavaScript,對js的安全問題
JavaScript的安全性指抄的不是代碼安全,指的是操作安全,因為JavaScript沒有訪問操襲作系統的許可權,所以不能操作文件和注冊表等系統資源百,從而不能用來製造度病毒和木馬。
關於JavaScript的代碼安全性,你可以把代碼文知件存在伺服器端,在頁面道中引用代碼的時候應用伺服器端的代碼文件
G. Web安全是前端還是後端安全居多,Web安全工程師是前端後端一起搞的嗎
您好:大多數安全問題都是以數據為中心,也包括web安全,後端來說存儲的隱秘系統更多一些,雖然大部分漏洞問題都發生在後端,但是前端也會存在一些安全問題,比如XSS跨站,所以WEB安全工程師前後端都需要會一些。