1.使用HTTPSHTTP:HTTP是Internet上使用最广泛的网络协议。它是一种用于客户端和服务器端请求和响应的标准(TCP),用于从WWW服务器传输超文本到本机浏览器的一种传输协议,可以使浏览器更高效并减少网络传输。HTTPSHTTPS是以安全为目标的HTTP通道。简单的说,它是一个安全版的HTTP,即在HTTP的基础上增加了一个SSL层。HTTPS的安全基础是SSL,所以加密的详细内容需要SSL。HTTPS协议的主要作用可以分为两种:一种是建立信息安全通道,保证数据传输的安全;二是确认网站的真实性。主要区别是1、https协议需要去CA申请证书。一般免费证书很少,需要一定的费用。2、http是超文本传输??协议,信息以明文传输,https是安全的SSL加密传输协议。3、http和https使用完全不同的连接方式,使用的端口也不一样。前者为80,后者为443。4、http的连接非常简单,无状态;HTTPS协议是由SSL+HTTP协议构建的网络协议,可以进行加密传输和身份认证,比http协议更安全。HTTPS的缺点虽然HTTPS有很大的优点,但是相对来说还是有缺点:1.HTTPS协议的握手阶段比较耗时,会延长页面加载时间近50%,增加10%到20%%功耗;2、HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至会影响现有的安全措施;3.SSL证书是要钱的,越强大的证书费用越高,个人网站和小网站如果不是必须一般不用。4.一个SSL证书通常需要绑定一个IP,同一个IP不能绑定多个域名。IPv4资源无法支持这种消耗。5.HTTPS协议的加密范围也比较有限,对黑客攻击、拒绝服务攻击、服务器劫持等影响不大。最重要的是,SSL证书的信用链体系并不安全,尤其是当一些国家可以控制CA根证书,中间人攻击也是可行的。2、使用POST请求总结:post请求比get请求更安全,因为post请求不会被缓存,不会保存在浏览器历史记录中,不能被收藏,请求对数据长度没有要求。3.加密本地存储的数据。当需要在本地缓存一些重要信息时,可以将数据用MD5加密,然后缓存到SessionStorage中。详情参考https://blog.csdn.net/zxf1242652895/article/details/782048424。使用TokenCookie:登录后,后端在cookie中生成一个sessionid返回给客户端,服务端一直记录这个sessionid。端每次请求后,都会带上这个sessionid,服务端会用这个sessionid进行身份验证等操作。所以别人拿到cookie,就拿到了sessionid,完全可以代替你。Token:登录后,后端会返回一个token给客户端,客户端会保存这个token,然后每次客户端请求的时候,开发者都需要手动把token放在header中,服务端只需要令牌通过验证后,令牌中的信息可以用于下一步。总结:Token比Cookie安全,Token可以防止CRSF攻击。五、其他1、对用户输入的信息进行验证、过滤。2.对重要表格和请求进行身份验证。3.做路由重定向。6、两种常见的XSS攻击方式:用户通过各种方式向其他用户的页面注入恶意代码。您可以通过脚本获取信息、发起请求等操作。---验证和过滤用户输入的信息,防止XSS攻击。CSRF:Cross-siterequestattack,简单的说,就是攻击者通过一些技术手段,欺骗用户的浏览器去访问他认证过的网站,并进行一些操作(比如发送邮件,发送消息,甚至属性操作之类的)作为转让和购买)。由于浏览器已经过认证,访问的网站将被认为是真实的用户操作和运行。这就利用了web上用户认证的一个漏洞:简单的认证只能保证请求是用户浏览器发出的,不能保证请求本身是用户自愿发出的。csrf获取不到用户的任何信息,它只是欺骗用户的浏览器以用户的名义进行操作。---使用Token本文编译自:https://www.xinran001.com/frontend/283.htmlhttps://www.cnblogs.com/vajoy/p/4176908.html
