如何保证数据安全
- 使用https协议
- 后端密码加密
- 使用token验证
- 请求签名,防止参数被篡改
- APP中使用ssl pinning防止抓包操作
- 对所有请求和响应都做加解密操作
xss攻击
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
XSS攻击的危害包括:
- 盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
- 控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
- 盗窃企业重要的具有商业价值的资料
- 非法转账
- 强制发送电子邮件
- 网站挂马
- 控制受害者机器向其它网站发起攻击
xss攻击如何防护
解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任
- 前端过滤,拦截可疑字符
- 后端写过滤器拦截来实现,这个过滤器应该放在第一位
- 后端不能相信前端传递过来的参数,必须对参数进行校验
