電子商務網頁安全需要防范哪些方面

電子商務網頁安全需要防范以下這些方面：

• 防范跨網站攻擊：對CSRF攻擊的防御主要有兩種方式。第一種是通過驗證輸入HTTP的Refer報頭，在形成任何HTTP請求時，大多數瀏覽器都會進行配置，以便在一個叫作Refer的HTTP報頭中發送原始URL，如果對它進行檢測，發現它在引用一個第三方域，便可知道這是一個跨網站請求。但這種方式易受瀏覽器限制，因為瀏覽器并不是必須發送這個報頭，而且有些用戶可能會禁用這一功能來保護隱私。第二種方式是要求在敏感請求中包含用戶相關的令牌，如要求用戶在提交表單時輸入用戶的賬號和密碼，但這種方式也給用戶帶來了多余的操作。

• 防范會話劫持：目前會話保護機制主要有兩種。第一種是通過客戶端IP地址檢查進行防護，這種方式是在Cookie中保存客戶端的IP地址，通過對IP地址的檢測，拒絕與原IP地址不同的任何請求。第二種是通過在Cookie中設置HttpOnly標志進行防護，HttpOnly是Microsoft在瀏覽器中添加的一個安全特性，HttpOnly是一個標志，可以對Cookie進行標記，被標記的Cookie無法用JavaScript獲取，這樣攻擊者就無法利用XSS漏洞獲取用戶的會話。

• 防范客戶端驗證脆弱性：JavaScript語言的應用使網頁具有互動性，JavaScript的解釋由瀏覽器執行，不需要服務器來解釋，具有反應速度快、功能強大的特點，常用來給HTML網頁添加動態功能，響應用戶的操作。在實際應用中JavaScript常常用來控制表單中的輸入，一個安全的系統不能只依靠客戶端對數據進行驗證，必須將客戶端驗證和服務器端驗證結合起來。

• 防范SQL注入：一般可以通過白名單的方式防御，白名單驗證是在用戶進一步處理之前驗證輸入是否符合所期望的類型、長度、大小、數字范圍或其他標準。白名單驗證通常利用正則表達式完成，可以從數據類型、數據值、數據范圍、數據內容、數據大小等方面考慮。

• 防范XSS：不要在允許位置插入不可信數據，在向HTML元素內容插入不可信數據前對HTML解碼，在向HTML常見屬性插入不可信數據前進行屬性解碼，在向HTML URL屬性插入不可信數據前進行URL解碼。

回答所涉及的環境：聯想天逸510S、Windows 10。