常見的 Web 安全技術

本文主要從服務器端安全技術和客戶端安全技術兩個方面來分析了常見的web安全技術主要有：

服務器端安全技術

• 網頁防篡改

服務器端安全最基本的是接入網入口的UTM網關，其中IPS功能與防DDOS功能是Web服務器系統級入侵的直接防護，但UTM是通用的邊界安全網關，非“專業的”Web入侵防護，一般作為安全的入門級防護。防護末知攻擊是難的，但看好我自己的“家底”是相對容易的。因此，人們最先想到的就是網頁防篡改技術。網頁防篡改對保護靜態頁面有很好的效果。

網頁防篡改系統可以用于Web服務器，也可以用于中間件服務器，其目的都是保障網頁文件的完整性。

• web防火墻

防止網頁被篡改是被動的，能阻斷入侵行為才是主動型的, Web防火墻，主要是對Web特有入侵方式的加強防護，如DDOS防護、SQL注入、XML注入、XSS等。由于是應用層而非網絡層的入侵，從技術角度都應該稱為Web IPS，而不是Web防火墻。這里之所以叫做Web防火墻，是因為大家比較好理解，業界流行的稱呼而已。由于重點是防SQL注入，也有人稱為SQL防火墻。

• Web數據庫審計

有效恢復是安全保障的一個很重要的理念。動態網頁的防護難點是用數據庫現場生成的，因此對數據庫的修改就變得很關鍵，Web數據庫審計產品的目的就是對數據的所有操作進行記錄，當發現問題時,這些操作可以回溯。

• Web木馬檢查

Web安全不僅是維護網站自己安全，通過網站入侵用戶電腦的危害也十分棘手。網頁容易被掛上木馬或被XSS攻擊利用，是否有工具可以對所有的網頁進行安全檢查呢？這里用到了“爬蟲”技術。

客戶端安全技術

• 瀏覽器端的安全

同源策略( Same Origin Policy)是一種約定，瀏覽器最核心也是最基礎的安全功能。可以說web是構建在同源策略的基礎之上的，瀏覽器只是針對同源策略的一種實現。

瀏覽器的同源策略限制了來自不同源的document或本,對當前document讀取或設置某些屬性。

• 跨站腳本攻擊( XSS )的防御

XSS的本質是一種”HTML注入”。用戶數據被當作HTML代碼的一部分來執行。

設置Cookie的HttpOnly屬性， 這個屬性使瀏覽器禁止頁面的JavaScript訪問Cookie。

輸入檢查 ,輸入檢查的邏輯必須放在服務器端完成，主要檢查用戶輸入的數據中是否包含特殊的字符,要根據具體語境進行處理。

輸出檢查,要對輸出進行恰當的編碼。

• 跨站點請求偽造( CSFR )的防御

1.使用驗證碼

2.使用Token (令牌)

• 點擊劫持( ClickJacking )的防御

點擊劫持 ( ClickJacking )因為需要誘使用戶與頁面產生交互行為，因此實施攻擊的成本更高，在網絡犯罪中比較少見。但 ClickJacking 在未來仍然有可能被攻擊者利用在釣魚、欺詐和廣告作弊等方面不可不察。

一般的做法都是通過禁止跨域的iframe來防范。

iframe本身就是不符合標準的,目前只有IE6、IE5支持

回答所涉及的環境：聯想天逸510S、Windows 10。