面試集錦（十五）網絡安全

如何保證數據安全

1. 使用https協議
   
2. 後端密碼加密
   
3. 使用token驗證
   
4. 請求籤名，防止參數被篡改
5. APP中使用ssl pinning防止抓包操做
   
6. 對全部請求和響應都作加解密操做

xss攻擊

XSS是一種常常出如今web應用中的計算機安全漏洞，它容許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。

XSS攻擊的危害包括：

1. 盜取各種用戶賬號，如機器登陸賬號、用戶網銀賬號、各種管理員賬號
   
2. 控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力
   
3. 盜竊企業重要的具備商業價值的資料
   
4. 非法轉帳
   
5. 強制發送電子郵件
   
6. 網站掛馬
   
7. 控制受害者機器向其它網站發起攻擊
   

xss攻擊如何防禦

解決該問題的核心思路就是對用戶數據作嚴格處理，對任何頁面傳遞的數據都不該過度信任

1. 前端過濾，攔截可疑字符
   
2. 後端寫過濾器攔截來實現，這個過濾器應該放在第一位
   
3. 後端不能相信前端傳遞過來的參數，必須對參數進行校驗