Web应用的十大主动安全措施的内容

在web中的应用有着十大主动的安全措施,不知道网友们知不知道呢?这些可是保障着系统和浏览器安全的好的方法呢?我们一起去看看吧!

1:Content-Security-Policy

Content Security Policy是Mozilla为了提高浏览器安全性开发的一套新的安全机制,该机制让网站可以定义内容安全政策,明确告知浏览器哪些内容是合法的,让浏览器得以避开恶意内容。CSP主要锁定解决XSS及跨站冒名请求(Cross Site Request Forgery)等网络应用程序漏洞。强烈建议用户将该告警打开,你可以看到哪些数据在干坏事。

在Web上,此策略是通过HTTP头或meta元素定义的。在Chrome扩展系统中,不存在这两种方式。扩展是通过manifest.json文件定义的:

{

…,

“content_security_policy”: “[POLICY STRING GOES HERE]“

}

关于CSP语法的详细信息,请参考W3C的 Content Security Policy 规范。

2:设置X-Frame

所有的现代浏览器都支持X-Frame-Options HTTP头,这个头允许页面被iframe使用时是否正常渲染。通过使用X-FRAME-OPTIONS伪指令,Web开发人员可以立即帮助IE8用户减轻来自各种Web 应用程序攻击的威胁。

使用X-Frame-Options 有两种可能的值:

DENY :该页无法显示在一个框架中.

SAMEORIGHT :页面只能显示在页面本网站的框架中.

换句话说,通过<IFRAME>/<FRAME> 框架加载页面,如果你指定DENY,不仅会尝试加载在一个 框架页面失败,其它网站加载也会失败。 另一方面,如果你指定 SAMEOptions ORIGHT, 其它网站加载会失败。

3:防止CSRF跨站攻击

建议在每个表单验证的地方加上随机的token,这样能够防止用户被CSRF攻击。关于CSRF跨站请求攻击防护,FREEBUF上曾有同学写过详细的文章,可以查看

4:DAL (data/database access layer)

DALS http://en.wikipedia.org/wiki/Data_access_layer能够有效的防止SQL注入,但是很少有公司知道如何正确的使用,虽然DALS改造比较复杂,但是因为每一个单一的数据库调用需要的修改和插入等操作都在DAL层操作,所以从底层上杜绝的SQL注入的产生。

5:文件系统禁止写入

正确的设置CONFIG文件,设置网站的用户无法在文件系统上写入文件。

6:安全日志审计

日志信息能够很快的帮助用户发现攻击者的踪迹,可以通过一些日志分析系统对IIS、APACHE、NGINX、WINDOWS、LINUX等日志进行实时的分析,如OSSEC、ZABBIX等,构建攻击特征库,发现攻击行为第一时间产生告警。

7:加密存储

从之前的CSDN、世纪佳缘等著名站点被脱裤事件中可以看出,很多站点仍然采用明文的方式存储用户密码,采用一个过时的HASH算法,攻击者可以很轻松的获取到用户的相关信息,而有的站点很多的功能依赖于现有的数据库设计和相关的结构化数据,导致后期更改用户的哈希算法非常棘手。

8:SSL、COOKIE设置HTTPONLY和STS

任何一个网站,如果不支持SSL加密传输,非常容易遭受到中间人攻击。COOKIE没有设置HTTPONLY和STS,也非常容易遭受到跨站攻击。

9:构建安全框架

构建一个适合企业自己的安全框架,程序员在写程序的时候调用安全框架,过滤用户的一切有害输入,如XSS、SQLI、命令注入等等,可以从一定程度上降低安全风险。

10:设置autocomplete=off和强密码

AutoComplete控件就是指用户在文本框输入前几个字母或是汉字的时候,该控件就能从存放数据的文本或是数据库里将所有以这些字母开头的数据提示给用户,供用户选择,提供方便。但是在方便的同时也可能带来一定的安全风险,攻击者可能获取用户键入的一些历史信息,比如密码等。

以上就是关于在web中的十大安全措施;不要小看这些安全措施哦,它们却是保障浏览器安全行驶的重要“能手“呢!大家一起去了解下吧!看看它们强大的功能吧!

(0)

相关推荐

  • 黑客Web攻击的十大原因

    随着各种基于Internet的安全攻击频发,Web安全已经成为业界的热门话题.本文谈下黑客使用Web进行攻击的十大原因以及抵御Web威胁的十大方法. 黑客使用Web进行攻击的十大原因 1.桌面漏洞 I ...

  • 主动降噪耳机十大品牌排行榜

    排行榜123网依托全网大数据,根据品牌评价以及销量评选出了2019年主动降噪耳机十大品牌排行榜,前十名分别是索尼/Sony.博士/BOSE.Beats by dre.AKG爱科技.B&O.森海 ...

  • 盘点十大最流行的Linux服务器发行版

    随着Linux不断发展,Linux所支持的文件系统类型也在迅速扩充。很多的数据中心服务器上都运行着Linux,可以节省大量的许可证费用及维护费用。但伴随着Linux新版本的发行,其中每一个不同版本的L ...

  • 苹果Mac OS X 10.10 Yosemite系统十大使用技巧汇总

    在本次 WWDC 2014 大会上,苹果今年将扁平化设计带到了 Mac OS X 的头上来了,发布了最新的Mac OS X Yosemite 10.10,虽然比起目前的视觉效果更“扁平化”、更 IOS ...

  • 图吧导航好不好用?手机图吧导航十大功能介绍

    图吧导航是一款手机导航地图和导航软件,其效果怎么样呢?下面我们一起来看看图吧导航的功能使用吧。 图吧地图是图吧科技为手机用户开发的专业地图导航软件。强大的地点搜索及路线查询功能,帮您快速找到餐馆、宾馆 ...

  • 十大最流行的Linux服务器

    随着Linux不断发展,Linux所支持的文件系统类型也在迅速扩充。很多的数据中心服务器上都运行着Linux,可以节省大量的许可证费用及维护费用。但伴随着Linux新版本的发行,其中每一个不同版本的L ...

  • 最有Win8范儿的十大软件

    Windows 8正式发布已经四个多月了。因其独特的界面设计,Win8的确引起了很多话题。但无可争辩的是,四个月来Win8的性能和功能在不断完善,Win8的平台生态正在不断优化。数以千万计的Win8用 ...

  • Win8.1正式版十大新特性

    或许是升级人数太多的原因,本人的升级进度条一度卡在30%左右很久,不过经过彻夜鏖战我还是完成了这个3.42GB安装包的下载。下面,我就向大家分享一下我所见、所知的Windows 8.1正式版的新特性。 ...

  • lol十大最难操作的英雄

    综合排行 01 英雄联盟(LOL)里哪些英雄最需要操作?LOL哪些英雄最难操作?ADC.ap里操作最难的英雄都有哪些?跟排行榜123小编一起来总结lol十大最难操作的英雄! 02 Top10.不详之刃 ...