安全
攻击
XSS
跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
SQL注入
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
CSRF攻击
跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
其它攻击
Error Code、HTML注释、文件上传、路径遍历
防御手段
Web防火墙和网站安全漏洞扫描
加密
- 单向散列加密
- 对称加密
- 非对称加密
高可用
解耦
- 高内聚、低耦合的组件设计原则
- 面向对象基本设计原则
- 面向对象设计模式
- 领域驱动设计建模
隔离
- 业务与子系统隔离
- 微服务与中台架构
- 生产者消费者隔离
- 虚拟机与容器隔离
异步
- 多线程编程
- 反应式编程
- 异步通信网络编程
- 事件驱动异步架构
备份
- 集群设计
- 数据库分布式部署
失效转移
- 主失效时,备提供服务
幂等
- 多次相同请求结果一致性
事务补偿
- 分布式事务
重试
- 请求失败时在一定次数内重试
熔断
- 服务故障或压力过高时主动停止服务请求,转向其他流程
限流
- 丢弃部分用户请求
降级
- 主动部分服务不可用
异地多活
- 多地多机房部署
高可用自动化运维
- DevOPS
本文由 biezhi 创作,采用 知识共享署名4.0 国际许可协议进行许可
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名
最后编辑时间为:
2020/08/27 23:50