WEB安全 · 标签

  • node 安全清单

    2016-11-05 00:31 925
    前言安全性,总是一个不可忽视的问题。许多人都承认这点,但是却很少有人真的认真地对待它。所以我们列出了这个清单,让你在将你的应用部署到生产环境来给千万用户使用之前,做一个安全检查。以下列出的安全项,大多都具有普适性,适用于除了Node.js外的各种语言和框架。但是,其中也包含一些用Node.js写的小工具。配置管理安全性相关的HTTP头以下是一些安全性相关的HTTP头,你的站点应该设置它们:Strict-Transport-Security:强制使用安全连接(SSL/TLS之上的HTTPS)来连接到服务器。X-Frame-Options:提供对于“点击劫持”的保护。X-XSS-Protectio...
  • 如何部署一套安全的Express Web App

    2016-11-01 09:12 1104
    引言本篇章翻译自Express官方网站,主要是讨论关于如何部署一套安全的Express Web App,虽然内容不是太多,但是比较通用,对于安全不是特别了解的可以参考这篇文章做个入门,翻译过来供大家讨论,对于其中一些原文内容介绍不足的地方,做了一定的介绍补充。对于开发一套Web App,我们一般会定义很多个版本,比如最终的生产线版本(production),开发版本(development)等。对于生产线版本,一般是最终面对用户的版本,而开发版本则一般只对开发人员开放。不同版本的运行环境,也分别称之为生产环境和开发环境。这两种运行环境一般也在分离的环境中。在开发软件期间,为了调试的目的我们会设...
  • 如何防范常见的Web攻击

    2016-10-26 10:17 1317
    今天,从开发人员的角度,并结合我在开发过程中遇到的问题,说说《如何防范常见的Web攻击》话题。SQL注入攻击SQL注入攻击,这个是最常聊到的话题,使用过Java的开发人员,第一个反应就是一定要使用预编译的PrepareStatement,是吧?什么是SQL注入攻击攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造,并在数据库中执行。用户登录,输入用户名 lianggzone,密码 ‘ or ‘1’=’1 ,如果此时使用参数构造的方式,就会出现select * from user where name = 'lianggzone' and pa...