摘要：一、前言 在web中，使用Ajax调用API，撇开跨域不讲，怎么做安全验证，防止别的网站调用呢？假设没有做安全保障，任何用户都可以直接访问接口，这回暴露出极大的安全隐患。 二、后端怎么做？ 1、一些接口强制用户必须登录，通过查看sessionId来做判别，没登录则不返回数据或者返回401或者403； 阅读全文

摘要：一、前言 一般在登录注册的时候，不能以明文的方式传递数据到后台，如果是http下，很容易被劫持。所以对数据进行加密是常规做法。 二、RSA算法 ”RSA加密算法是一种非对称加密算法。对极大整数做因数分解的难度决定了RSA算法的可靠性。换言之，对一极大整数做因数分解愈困难，RSA算法愈可靠。假如有人找 阅读全文

摘要：一、前言 跨站点请求伪造(Cross-SiteRequest Forgeries, CSRF)，是指攻击者通过设置好的陷阱，强制对已完成认证的用户进行非预期的个人信息或设定信息等某些状态更新，属于被动攻击；有如下危害： 1、利用已通过认证的用户权限更新设定信息； 2、利用已通过认证的用户权限购买商品 阅读全文

摘要：一、简介 CSP是网页安全政策(Content Security Policy)的缩写。是一种由开发者定义的安全性政策申明，通过CSP所约束的责任指定可信的内容来源，（内容可以是指脚本、图片、style 等远程资源）。通过CSP协定，可以防止XSS攻击，让web处一个安全运行的环境中。 CSP 的实 阅读全文

摘要：一、什么是XSS? 跨站脚本攻击(Cross Site Scripting)，为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代 阅读全文