封裝安全載荷協議ESP是：

• 封裝安全載荷協議（ESP）通過對數據包的全部數據或載荷內容進行加密來保證傳輸信息的機密性，避免其他用戶通過監聽打開信息交換的內容，因為只有受信任的用戶才擁有密鑰打開內容的權限。此外，ESP也能提供身份認證、數據完整性驗證和防止重發的功能。在隧道模式中，整個IP數據報都在ESP負載中進行封裝和加密。當該過程完成以后，真正的IP源地址和目的地址都可以被隱藏為Internet發送的普通數據。這種模式的一種典型用法就是在防火墻與防火墻之間通過VPN的連接進行的主機訪問。在傳輸模式中，只有更高層協議幀（TCP、UDP、ICMP等）被放到加密后的IP數據報的ESP負載部分。

• ESP主要使用DES或3DES算法為數據包提供加密保護。例如，主機A用戶將數據發送給主機B用戶。因為ESP提供機密性，所以數據被加密。接收端在驗證過程完成后，數據包的數據將被解密。B用戶可以確定確實是A用戶發送的數據并且數據未經修改，其他人無法讀取這些數據。

• ESP報頭提供集成功能和IP數據的可靠性。集成功能保證了數據沒有被惡意黑客破壞，可靠性保證使用密碼技術的安全。對IPv4和IPv6, ESP報頭都列在其他IP報頭后面。ESP編碼只有在不被任何IP報頭擾亂的情況下才能正確發送數據包。

• ESP數據格式由頭部、加密數據和可選尾部三部分組成。使用ESP進行安全通信之前，通信雙方需要先協商好一組將要采用的加密策略，包括使用的算法、密鑰以及密鑰的有效期等。加密數據部分除了包含原IP數據包的有效負載之外，填充域（用來保證加密數據部分滿足塊加密的長度要求）等部分在傳輸時也是加密過的。

等級保護測評北京有以下機構有測評資質：

1. 國源天順安全服務有限公司；

2. 交通運輸信息安全等級保護測評中心（交通運輸信息安全中心有限公司）；

3. 北京信息安全測評中心；

4. 北京金源動力信息化測評技術有限公司；

5. 北京久安智訊科技有限公司；

6. 國家計算機網絡與信息安全管理中心；

7. 中國金融電子化公司測評中心；

8. 工業和信息化部電子工業標準化研究院（中國電子技術標準化研究院賽西實驗室）；

9. 北京市電子產品質量檢測中心；

10. 應急管理部通信信息中心；

11. 北京地鐵科技發展有限公司信息安全測評中心；

12. 信息產業信息安全測評中心；

13. 中能電力科技開發有限公司；

14. 中國鐵道科學研究院集團有限公司信息系統與信息安全評測中心；

15. 國家應用軟件產品質量監督檢驗中心（北京軟件產品質量檢測檢驗中心）；

16. 公安部信息安全等級保護評估中心；

17. 中國電信集團系統集成有限責任公司；

18. 中國信息通信研究院；

19. 北京中科卓信軟件測評技術中心；

20. 國家信息技術安全研究中心；

21. 中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家工程實驗室；

22. 中國信息安全測評中心；

23. 公安部第一研究所信息安全等級保護測評中心；

24. 北京中百信信息技術股份有限公司；

25. 北京時代新威信息技術有限公司；

26. 中科信息安全共性技術國家工程研究中心有限公司；

27. 中國軟件評測中心（工業和信息化部軟件與集成電路促進中心）；

28. 國家工業信息安全發展研究中心；

29. 銀行卡檢測中心(北京銀聯金卡科技有限公司)；

30. 中金金融認證中心有限公司；

31. 教育信息安全等級保護測評中心（北京網盟正通科技有限公司）；

32. 國家廣播電影電視總局廣播電視信息安全測評中心；

33. 電力行業信息安全等級保護測評中心；

34. 航天開元科技有限公司；

35. 國家信息中心（電子政務信息安全等級保護測評中心）；

36. 聯通數字科技有限公司；

37. 中國移動通信集團有限公司研究院；

內網進行漏洞掃描必須要借助漏洞掃描器來進行，對內網進行漏洞掃描可以最大程度減少內網的漏洞增強內網的安全性，建議定期進行漏洞掃描，這里以RSAS漏洞掃描器為例介紹內網漏洞掃描步驟：

1. 登錄掃描器

   在瀏覽器中輸入漏洞掃描器的地址然后登陸漏洞掃描器；

   

2. 新建任務

   新建一個任務，設置好基本選項然后確定即可，內網服務器需要提前詢問管理員是否可以掃描；

   

   

3. 掃描完成

   掃描完成后到報表輸出欄中，按照紅框所標注的將本次掃描結果輸出；

   

4. 輸出報表并下載

   當掃描完成后會跳轉到報表輸出頁面，根據自己的需要選擇輸出范圍和格式下載報表就行了。

   

   

不接受，安全隔離網閘上的數據交換全部由管理員來進行配置，其所有的請求都由安全隔離網閘主動發起，不接受外來請求，不提供任何系統服務。網閘的主要用以實現不同安全級別網絡之間的安全隔離，并提供適度可控的數據交換的軟硬件系統所以只能由網閘發起數據交換，不接受由外部發起的請求，這樣可以更好的保障內部數據的安全，簡單來說就是網閘這種硬件設備不接受任何TCP會話，所有的數據交換需要通過隔離與交換控制單元來實現。

安全隔離網閘和防火墻有著本質的不同，以下表進行簡單的對比：

防火墻HA部署方式有以下兩種：

• 主備模式：主-備方式即指的是一臺設備處于某種業務的激活狀態（即Active狀態），另一臺設備處于該業務的備用狀態（即Standby狀態)。工作機和備用機通過心跳線連接，備用機實時監視工作機的情況，當工作機出現問題，備用機就接管工作。在這個狀態下，工作防火墻響應ARP請求，并且轉發網絡流量；備用防火墻不響應ARP請求，也不轉發網絡流量。主備之間同步狀態信息和配置信息。

• 主主模式：雙主機方式即指兩種不同業務分別在兩臺設備上互為主備狀態（即Active-Standby和Standby-Active狀態）。主主模式下，兩個防火墻并行工作，都響應ARP請求，并且都轉發網絡流量。主主模式可以提高數據包處理的吞吐量，平衡網絡負載，優化網絡性能。

等級保護測評北京有以下機構有測評資質：

1. 國源天順安全服務有限公司；

2. 交通運輸信息安全等級保護測評中心（交通運輸信息安全中心有限公司）；

3. 北京信息安全測評中心；

4. 北京金源動力信息化測評技術有限公司；

5. 北京久安智訊科技有限公司；

6. 國家計算機網絡與信息安全管理中心；

7. 中國金融電子化公司測評中心；

8. 工業和信息化部電子工業標準化研究院（中國電子技術標準化研究院賽西實驗室）；

9. 北京市電子產品質量檢測中心；

10. 應急管理部通信信息中心；

11. 北京地鐵科技發展有限公司信息安全測評中心；

12. 信息產業信息安全測評中心；

13. 中能電力科技開發有限公司；

14. 中國鐵道科學研究院集團有限公司信息系統與信息安全評測中心；

15. 國家應用軟件產品質量監督檢驗中心（北京軟件產品質量檢測檢驗中心）；

16. 公安部信息安全等級保護評估中心；

17. 中國電信集團系統集成有限責任公司；

18. 中國信息通信研究院；

19. 北京中科卓信軟件測評技術中心；

20. 國家信息技術安全研究中心；

21. 中國電子信息產業集團有限公司第六研究所工業控制系統信息安全技術國家工程實驗室；

22. 中國信息安全測評中心；

23. 公安部第一研究所信息安全等級保護測評中心；

24. 北京中百信信息技術股份有限公司；

25. 北京時代新威信息技術有限公司；

26. 中科信息安全共性技術國家工程研究中心有限公司；

27. 中國軟件評測中心（工業和信息化部軟件與集成電路促進中心）；

28. 國家工業信息安全發展研究中心；

29. 銀行卡檢測中心(北京銀聯金卡科技有限公司)；

30. 中金金融認證中心有限公司；

31. 教育信息安全等級保護測評中心（北京網盟正通科技有限公司）；

32. 國家廣播電影電視總局廣播電視信息安全測評中心；

33. 電力行業信息安全等級保護測評中心；

34. 航天開元科技有限公司；

35. 國家信息中心（電子政務信息安全等級保護測評中心）；

36. 聯通數字科技有限公司；

37. 中國移動通信集團有限公司研究院；

• string擴展，此模塊主要對報文中的應用層數據做字符串模式匹配檢測

• time擴展,此模塊根據將報文到達的時間與指定的時間范圍進行匹配

• limit，此模塊主要是基于收發報文的速率來做匹配，通俗的講就是來控制訪問速率的。其原理是用的令牌桶算法

• state擴展，state模塊是根據連接追蹤機制去檢查連接的狀態，使用這個模塊去匹配報文時比較消耗防火墻資源的，因為防火墻要在其內存維護一張連接追蹤表，這個表記錄著請求本機和響應之間的關系。每檢查一次請求報文，它都會去這個表里看一看，是不是之前來過的，基于某一狀態來追蹤報文的合法性

• multiport擴展，這個擴展模塊主要用于匹配多個源端口或目標端口，multiport這個模塊可以以離散方式定義多端口匹配，當然它也支持連續的端口匹配，連續端口匹配同tcp/udp的連續端口匹配用法和寫法一直，它也支持，連續和非連續端口的混合匹配，但這個模塊最多匹配15個端口。

• iprange擴展，此擴展模塊主要用于匹配連續的ip地址范圍

• mac擴展，該模塊用于匹配主機的MAC地址，適用于PREROUTING和FORWARD，INPUT鏈上

• connlimit擴展，此模塊可根據每客戶端IP做并發連接數數量匹配，可防止CC(Challenge Collapsar挑戰黑洞)攻擊

云供應商面對以下網絡攻擊：

• 認證問題：當某人未經個人授權獲取用戶名和密碼組合時，可能會發生未經授權的對系統的訪問。密碼可以通過回復網絡釣魚電子郵件的方式被人獲取，或者是回復聲稱來自合法服務提供商的假冒電子郵件，它要求用戶登錄一個假賬戶。密碼也可以通過使用密鑰記錄軟件或使用暴力破解法獲得。黑客獲得訪問基于云的服務器賬戶最簡單的方法之一就是猜測人們的密碼。使用寵物名字或孩子名字的簡單密碼，對于黑客來說是太容易破解了，特別是如果這些名字在社交媒體賬戶上公開了就更容易被破解了。

• 拒絕服務攻擊：對云服務提供商的拒絕服務（DoS）攻擊，可能使用戶無法訪問其賬戶。拒絕服務攻擊發生在攻擊者向主機服務器上的一個網站、群組或數個網站發送大量數據流，目的是阻塞服務器并使其無法訪問。拒絕服務攻擊可以使用“僵尸網絡”啟動，這是一個分布式攻擊源并使其更難以跟蹤其起源的計算機網絡。分布式拒絕服務攻擊被稱為DDoS。

• 惡意軟件：雖然云服務提供商的服務器可能被嚴格監視并更新了防病毒和惡意軟件掃描功能，但是它們仍然可能變得易受感染。例如，如果一個用戶的網站受到惡意軟件的攻擊，云提供商的服務器也可能被感染，從而傳播到其他多個客戶端的虛擬機。

• 網絡或數據包嗅探：網絡或數據包嗅探都是關于黑客攔截網絡數據流的。通過網絡傳輸的任何數據（包括密碼）在未正確加密的情況下都可以被捕獲和讀取。在云計算環境中，正確加密密碼和身份驗證代碼尤其重要，因為它們在用戶訪問云提供商的服務方面發揮了不可或缺的作用。

• 訪問管理問題：開組織，他們擁有的任何密碼或其他訪問信息都足以能夠讓他們危害企業的數據。有些離職后的員工竊取、復制、刪除或以其他方式修改信息，這已是廣為人知的了。對一些人來說，攻擊背后的意圖可能純粹是惡意的，但對于其他一些人來說，它的出發點可能只是為了開展一項競爭性的業務。

• 物理攻擊：云服務提供商提供的服務器仍然需要一個現實的地方。具有復雜安全系統的龐大數據中心通常擁有巨量的物理服務器陣列，用于存儲每個用戶的數據。雖然不常見，但是這些服務器和數據中心可能會遭受物理攻擊。

加強云安全的措施有以下這些：

• 加密技術：加強數據的私密性才能保證云計算安全，無論是用戶還是存儲服務提供商，都要對數據進行加密，這樣既保證數據的隱私性，又可以進行數據隔離。

• 訪問控制：訪問控制機制用來保證授權用戶可以訪問數據和阻止非授權用戶訪問系統數據。訪問控制包括認證和授權兩個方面。目前的云服務提供商都是通過弱認證機制如用戶名密碼形式來完成認證，并提供給用戶相對粗粒度的授權訪問控制。一般云計算提供商所提供的授權級別僅有管理員授權和用戶授權，而在這兩種授權中間沒有其他等級，這種粗粒度的訪問控制機制存在重大安全問題。因此，需要在云計算平臺中引入高安全性的身份認證機制和訪問管理技術，提高云用戶身份及其訪問控制的安全性。

• 身份認證：身份認證的方式有很多，比較常用的是密碼驗證法，即系統通過用戶所設定的用戶名和密碼判斷用戶身份是否合法。密碼驗證法又可以被分為直接存儲法、單向函數法、密碼加密法、時戳法和隨機法等。這種方法的安全性較低，若是服務器將用戶信息泄露，攻擊者很容易獲取用戶數據。

• 孤立虛擬機：既然多租用戶是數據隱私問題的主要來源，因此孤立虛擬機也是解決方法之一，即：在IaaS級，對存儲、內存和處理等進行孤立；在PaaS級，需要對API調用、操作系統處理進行孤立；在SaaS級，要強調對同一軟件上運行的事務進行孤立。

企業進行主動防御的方法如下：

• 動態防御：不依賴特征碼、閥值或策略規則等傳統安全技術，而是通過對網站底層代碼進行動態變幻，隱藏攻擊入口，迷惑攻擊者，使其無法發起針對性攻擊。直接在來源端阻斷自動化攻擊工具，以“動”制敵，化被動為主動。

• 態勢感知：結合靜態環境與動態行為，為每一位訪問者建立唯一全息指紋，通過業務邏輯感知和操作行為感知，識別傳統安全難以應對的高度擬人化機器人與分布式低頻攻擊，并提供攻擊定位，精準捕獲攻擊來源。

• 智能響應：能對潛在和更加隱蔽的攻擊行為進行威脅取證，提供可視化分析和報告，并將傳統單一的阻擋動作轉為可調整的智能對抗。同時，與其他安全系統進行動態聯動，形成自動化協同響應體系，實時隔離安全風險。

• 威脅預測：結合大數據和機器學習算法，基于本地威脅態勢、全球風險情報和第三方數據源，讓用戶知悉惡意攻擊來源及動向，及時告警；并根據動態趨勢預測的結果，即時調整防護策略，形成防護閉環。

醫院要實行安全等級保護的原因如下：

• 隨著醫院信息化程度的深入，醫院信息系統的安全和穩定就顯得尤為重要，其直接關系到了醫院醫療工作的正常運行，一旦出現問題，將對醫院和患者帶來巨大的麻煩。為此，衛生部曾下《衛生行業信息安全等級保護工作的指導意見》的通知，通知明確了三甲醫院的核心業務系統應按照信息安全等級保護第三級進行建設和保護。

• 隨著互聯網醫院出現，網上問診需求增多，醫院進行互聯網醫院建設，成為不少醫院業務拓展的需求，而針對互聯網醫院的相關等保要求也陸續出臺。

• 醫療衛生行業的網絡安全建設，對于當下來說非常關鍵，特別是當下疫情追蹤對于大數據醫療的需求很大，如果能夠快速處理突發事件，加強好醫療系統相關人員應急培訓能力提升，以及網絡安全防護措施升級，是非常有必要的。

• 2018年，國家衛健委《互聯網醫院管理辦法(試行)》規定了承載互聯網醫院的平臺必須通過等保三級測評。

• 2019年7月16日，上海市衛生健康委員會關于印發《上海市互聯網醫院管理辦法》，其中規定“互聯網醫院信息系統按照《信息安全技術 網絡安全等級保護基本要求》第三級標準完成定級備案和測評，每年應依法開展測評，測評通過后應提交系統年度測評報告”。此辦法2019年9月1日開始實施。

• 信息的保密性

  具有一定保密程度的信息只能讓有權讀到或更改的人讀到和更改。不過，這里提到的保密信息，有比較廣泛的外延：它可以是國家機密，是一個企業或研究機構的核心知識產權，是一個銀行個人賬號的用戶信息，或簡單到你建立這個博客時輸入的個人信息。因此，信息保密的問題是每一個能上網的人都要面對的。

• 信息的完整性

  是指在存儲或傳輸信息的過程中，原始的信息不能允許被隨意更改。這種更改有可能是無意的錯誤，如輸入錯誤，軟件瑕疵，到有意的人為更改和破壞。在設計數據庫以及其他信息存儲和傳輸應用軟件時，要考慮對信息完整性的校驗和保障。

• 信息的可獲得性

  是指對于信息的合法擁有和使用者，在他們需要這些信息的任何時候，都應該保障他們能夠及時得到所需要的信息。比如，對重要的數據或服務器在不同地點作多處備份，一旦A處有故障或災難發生，B處的備用服務器能夠馬上上線，保證信息服務沒有中斷。

檢測局域網內被入侵方法有以下這些：

• 在命令提升框中輸入netstat命令來查看是否有外部地址信息，來判讀當前局域網是否存在攻擊類軟件；

• 檢查系統密碼文件，看看是否有最近新添加的特權用戶；

• 檢查一下內網是否有特殊的進程，如果有則說明可能被入侵；

• 檢查一下系統守護進程，一般入侵者可以通過直接替換 http://in.xxx 程序來創建一個后門；

• 檢查網絡連接和監聽端口，檢查內網的所有連接和監聽端口看是否有入侵和非法連接；

• 檢查系統日志，查看內網中所有的日志信息看是否有入侵行為。

復合型防火墻集成了以下技術：

• 防火墻技術：防火墻技術是通過有機結合各類用于安全管理與篩選的軟件和硬件設備，幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。防火墻技術的功能主要在于及時發現并處理計算機網絡運行時可能存在的安全風險、數據傳輸等問題，其中處理措施包括隔離與保護，同時可對計算機網絡安全當中的各項操作實施記錄與檢測，以確保計算機網絡運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網絡使用體驗。

• 入侵檢測技術：入侵檢測是防火墻的合理補充，幫助系統對付網絡攻擊，擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息，并分析這些信息，看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。

• 安全評估技術：安全評估分狹義和廣義二種。狹義指對一個具有特定功能的工作系統中固有的或潛在的危險及其嚴重程度所進行的分析與評估，并以既定指數、等級或概率值作出定量的表示，最后根據定量值的大小決定采取預防或防護對策。廣義指利用系統工程原理和方法對擬建或已有工程、系統可能存在的危險性及其可能產生的后果進行綜合評價和預測，并根據可能導致的事故風險的大小，提出相應的安全對策措施，以達到工程、系統安全的過程。安全評估又稱風險評估、危險評估，或稱安全評價、風險評價和危險評價。

• 虛擬專用網技術：虛擬專用網指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網，主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網絡服務商所提供的網絡平臺，如Internet、ATM(異步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網絡，用戶數據在邏輯鏈路中傳輸。

防火墻的功能：

• 包過濾：包過濾是防火墻所要實現的最基本功能，它可將不符合要求的包過濾掉。包過濾技術已經由原來的靜態包過濾發展到了動態包過濾，靜態包過濾只是在網絡層上對包的地址、端口等信息進行判定控制，而動態包過濾是在所有通信層上對包的狀態進行檢測分析，判斷包是否符合安全要求。動態包過濾技術支持多種協議和應用程序，易擴展、易實現。

• 審計和報警機制：審計是一種重要的安全措施，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置，并對入侵者起到一定的威懾作用。報警機制是在通信違反相關策略以后，以多種方式如聲音、郵件、電話、手機短信息及時報告給管理人員。防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警，管理人員才可能知道網絡是否受到了攻擊。

• 遠程管理：遠程管理是防火墻管理功能的擴展之一，也是非常實用的功能，防火墻是否具有這種遠程管理功能已成為選擇防火墻產品的重要參考指標之一。使用防火墻的遠程管理功能可以在辦公室直接管理托管在網絡運營部門的防火墻，甚至坐在家中就可以重新調整防火墻的安全規則和策略。

• NAT：絕大多數防火墻都具有網絡地址轉換（NAT）功能。目前防火墻一般采用雙向 NAT，即 SNAT 和 DNAT。SNAT 用于對內部網絡地址進行轉換，對外部網絡隱藏內部網絡的結構，使得對內部的攻擊更加困難；并可以節省 IP 資源，有利于降低成本。DNAT 主要用于實現外網主機對內網和 DMZ 區主機的訪問。

• 代理：目前代理主要有如下兩種實現方式。分別是透明代理（Transparent proxy）和傳統代理。

• MAC 地址與 IP 地址的綁定：把 MAC 地址與 IP 地址綁定在一起，主要用于防止那些受到控制（不允許訪問外網）的內部用戶通過更換 IP 地址來訪問外網。

• 流量控制（帶寬管理）和統計分析、流量計費：流量控制可以分為基于 IP 地址的控制和基于用戶的控制。基于 IP 地址的控制是對通過防火墻各個網絡接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應用或用戶占用過多的資源。并且通過流量控制可以保證重要用戶和重要接口的連接。統計分析是建立在流量控制基礎之上的。一般防火墻通過對基于 IP、服務、時間、協議等進行統計，并與管理界面實現掛接，實時或者以統計報表的形式輸出結果。流量計費因此也是非常容易實現的。

• VPN：在以往的網絡安全產品中，VPN 是一個單獨產品，現在大多數廠商把 VPN 與防火墻捆綁在一起，進一步增強和擴展了防火墻的功能，這也是一種產品整合的趨勢。

防火墻的局限性：

• 不能防范不經過防火墻的攻擊；

• 不能解決來自內部網絡的攻擊和安全問題；

• 不能防止策略配置不當或錯誤配置引起的安全威脅；

• 不能防止可接觸的人為或自然的破壞；

• 不能防止利用標準網絡協議中的缺陷進行的攻擊；

• 不能防止利用服務器系統漏洞所進行的攻擊；

• 不能防止受病毒感染的文件的傳輸；

• 不能防止數據驅動式的攻擊；

• 不能防止內部的泄密行為；

• 不能防止本身的安全漏洞的威脅。

XSS攻擊通常指的是通過利用網頁開發時留下的漏洞，通過巧妙的方法注入惡意指令代碼到網頁，使用戶加載并執行攻擊者惡意制造的網頁程序。這些惡意網頁程序通常是JavaScript，但實際上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻擊成功后，攻擊者可能得到包括但不限于更高的權限（如執行一些操作）、私密網頁內容、會話和cookie等各種內容。

防御XSS攻擊的手段有以下這些：

• 如果網站返回“X-Content-Type-Options：nosniff”HTTP頭部的話，那么該攻擊就會偃旗息鼓了。所以，最簡單的防御措施，就是讓它返回這個頭部。服務器可以通過nosniff頭部告訴瀏覽器，“當我說將給你<Content-Type>時，就意味著這是真的<Content-Type>！”。

• 腳本標簽只能用于GET請求。因此，如果端點只接受POST請求，則此攻擊就無能為力了。這個要求看似簡單，但務必要小心。您可能已經設計了只接收POST請求的API，但您的內容管理系統也許仍然可以接收GET請求。

• 如果端點始終返回200，那么也就無法從狀態碼中竊取信息了。但是，狀態碼的存在，不要僅僅為了阻止這種攻擊而簡單粗暴地廢棄了HTTP協議的核心部分。請改用nosniff頭部來阻止該攻擊。

• 如果攻擊者能夠在自己的瀏覽器中加載私密信息，那么他就不需要這種攻擊了。該攻擊主要是設法讓用戶訪問攻擊者的域，然后以用戶在其他域的權限來獲取更多信息，這通常要求用戶已經經過了相應的認證。除此之外，如果您的家庭路由器有此漏洞，那么惡意公共站點可以通過它請求腳本，從而導致信息泄漏。