专栏首页程序员互动联盟前端html源码可以不暴露接口吗?为什么?

前端html源码可以不暴露接口吗?为什么?

html属于的前端编程中一项,接口是必须要暴露的,起码基于现在的技术框架是无法避免的,因为只要是有关html的代码只需要在浏览器里面右键点击查看源代码所有的相关的html代码都会原封不动的展示出来,所以前端页面的很多样式特效只要有一家有新的变化出来,紧接着很快就会被抄袭拷贝了,样式和风格太容易拿来使用了,所以想在加密只能在数据接口上做做文章,现在web安全已经成为一个非常热点的问题,因为随着网页应用的普及化网页安全将会越来被重视。

常见的web都有哪些安全隐患,为什么要重视web安全?

SQL注入:这种危害性最大,直接违背设计者的初衷,注入篡改数据库操作,再严重点直接操纵数据库服务器,网站越大数据库被拖库的可能性越大,这是各大运营网站必须要面对的实际问题。在实际操作过程中对于用户的信息一定要管控,不要由着用户输入任何可能性对数据库产生危害的操作,不要使用动态拼接SQL,尽量不要返回异常信息给用户。

XSS:跨站脚本攻击

向web网页注入html脚本获取cookie为主,以js注入执行为主,导航到恶意网站或者注入木马,防护规则其实也很简单在js中,过滤掉关键字:JavaScript,cookie属性设置为http-only,同时提高代码严谨度和规范性比如在避免未经授权访问会话状态,限制会话的寿命,对身份验证的cookie进行加密,避免明文的形式密码发送。

当然还有其他的隐患:比如没有限制URL访问,越权访问,重复提交增加服务器负载等都是web安全领域涉及到的问题,现在web开发越来越倾向于前后端分离的方式,极大提升了开发的效率,但安全防护级别降低了,话又说回来只要在互联网上的东西很难保证绝对的安全,对于web来讲不上网就相当于瘫痪,所以只能在防护级别增加力度,为了防止被盗就采用数字加密方式常见的加密方式有(非对称的RSA,私钥加密等等),加盐操作(在拥有MD5算法的基础上采用加盐策略)普及下简单的概念加盐:“在密码学中,是指通过在密码任意固定位置插入特定的字符串,让散列后的结果和使用原始密码的散列结果不相符,这种过程称之为“加盐””,另外还有一种给现在支付吧或者微信接口经常使用的token机制,用令牌限制,这种通用性比较强,相当于在传输真正的数据之前先发送一个令牌指令验证打开门,验证通过之后才允许数据安全通过,而且这个令牌也是有期限的,到期了就会关闭。

网络的世界里面没有绝对的安全,在平常的开发过程中,代码的规范性以及严谨程度也会影响到安全指数,现在的网站开发功能一般都比较强大,参与人数多都会加大出错的概率,而且经常还有一个服务器上运行多个运营平台,这些都是安全隐患,绝大部分安全都是因为个人失误造成。

安全是无法完全杜绝,但可以通过一些方案或者措施最大程度的规避。

本文分享自微信公众号 - 程序员互动联盟(coder_online)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-02-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【编程基础】简单理解大小端那些事儿

    什么是计算机大小端?简单来说,大小端(Endian)是指数据存储或者传输时的字节序,大小端分大端和小端。 所谓大端(Big-Endian)模式,是指数据的低位(...

    程序员互动联盟
  • 学习web需要掌握的一些小窍门

    自己研究web已经有一段时间了,后来慢慢的就会有一些学弟学妹问我,如果学习web怎么才能快速的上手做一些东西,还有一些比如说学习web有没有什么窍门,怎么可以快...

    程序员互动联盟
  • 开发一个网站需要掌握多少技术?

    在众多纷纭的计算机的岗位中,其中有一个岗位叫做“web服务器开发”,就是我们经常说的web后端;也许有过一些工作经验的开发者对于这个web服务器的开发已经很熟悉...

    程序员互动联盟
  • 【观点】周鸿祎:大数据时代的用户信息安全

    大数据时代的来临会让互联网走到一个奇点,在未来两三年里,随着各种移动智能设备接入,安全问题也会变得越来越严重。 用户信息安全的三原则:1. 用户的信息是...

    小莹莹
  • 周鸿祎:大数据时代的用户信息安全

    浓缩观点 大数据时代的来临会让互联网走到一个奇点,在未来两三年里,随着各种移动智能设备接入,安全问题也会变得越来越严重。 用户信息安全的三原则:1. 用户的信息...

    小莹莹
  • [演讲]周鸿祎:大数据时代的信息安全

    大数据文摘
  • 2019年度最受欢迎前端开源技术,你会多少?

    就在今天,开源中国最新统计的2019年最受开发者欢迎的开源软件排名出来了,关于前端部分,vue,react,小程序依旧是大家的心中所爱,技术更新换代太快,各种框...

    王小婷
  • 如何使用Java keytool命令行创建一个自签名证书

    执行文件keytool.exe是JRE自带的工具,在windows系统一般位于文件夹c:\Program Files\Java\jre6\bin下面。

    Jerry Wang
  • 企业网站如何防止被黑客入侵

    企业官网和个人网页都不可以忽略网站安全问題,一旦一个网站被黑客入侵,忽然来临的网站安全问題会给网站产生致命性的伤害。为了避免网站安全问題的产生,人们能够采用一些...

    技术分享达人
  • 如何防止网站被黑客入侵攻击等问题

    企业官网和个人网页都不可以忽略网站安全问題,一旦一个网站被黑客入侵,忽然来临的网站安全问題会给网站产生致命性的伤害。为了避免网站安全问題的产生,人们能够采用一些...

    网站安全专家

扫码关注云+社区

领取腾讯云代金券