
一、前端安全威胁与防御
XSS跨站脚本攻击
存储型XSS:用户输入未过滤直接存入数据库,通过<script>
标签注入恶意代码。
防御方案:输入校验(如过滤<
、>
)、输出转义(htmlspecialchars
)、启用CSP(Content Security Policy)限制脚本来源。
点击劫持(Clickjacking)
利用透明iframe诱导用户点击隐藏按钮。
解决方案:响应头添加X-Frame-Options: DENY
,或通过JavaScript禁止页面嵌套。
二、后端与服务器防护体系
CSRF跨站请求伪造
攻击者伪造用户身份发起转账等敏感操作。
防御机制:
服务端生成并校验CSRF Token,每次请求强制匹配。
关键操作启用双重验证(如短信/邮件确认)。
SQL注入与数据泄露
拼接SQL语句导致数据库被拖库(如' OR 1=1 --
)。
防护措施:全面采用ORM框架或预处理语句(Prepared Statements),杜绝动态拼接。
文件上传漏洞
恶意用户上传.php或.exe文件并执行。
安全方案:校验MIME类型、限制文件后缀、存储路径禁用脚本执行权限。
三、全站加密与合规实践
HTTPS强制部署
使用Let’s Encrypt免费SSL证书,配置HSTS响应头(Strict-Transport-Security),防止中间人攻击。
隐私数据脱敏
用户密码加密存储(bcrypt算法),日志中屏蔽敏感信息(如身份证号)。
合规性要求
GDPR与CCPA合规:用户数据访问权限控制、隐私协议明示、Cookie弹窗合规。
Web安全是持续对抗的过程,未来零信任架构(Zero Trust)与AI异常检测将成主流,开发者需从“被动修复”转向“主动防御”。