《Web前端黑客技术揭秘》读后感_700字

《Web前端黑客技术揭秘》读后感700字

讲得不够透彻，叙述结构不清晰，对于有一定基础的人而言，都有些云里雾里。有些概念是突然冒出来的，没有解释，还以为自己错过了什么内容。

不过话说回来，作为web开发人员，平时该怎么注意web安全呢？其实大部分web框架对xxs和csrf都提供了默认的保护，实现安全操作很容易，往往加上一两句代码，很多漏洞都可以避免，这里总结几个：

• 用户输入的值，该编码的去编码；
• 修改数据的请求一定要限制只能post，同时带上csrf验证；
• 所有请求输入参数都得进行校验，特别是字符串，一定得过滤非法字符，实在不行的，输出的时候务必要进行编码；
• url中不要出现敏感信息；
• cookies尽量用httponly的方式，也不要在客户端存储用户的敏感信息，哪怕是加密的也不行；
• sql执行无论如何都得以参数化的方式（不开玩笑，还有再把参数用拼字符串方式写sql的员工，建议辞退）；
• 能上https就上https（这个给运维做）；
• 页面尽量加上iframe的限制（一句frame busting脚本加上x-frame-options头部足够对付点击劫持）；
• web服务器的server和x-powered-by http头部顺手关闭（虽然没什么用，但能一定程度上避免被嗅探出服务器程序的语言和框架）
  
• 安全和隐私相关的页面要记录操作和访问日志，在异常访问（比如错误过多，或者批量访问）时告警
• 不影响用户体验时，敏感页面加上二次密码验证或者验证码
• ……

总结

• 安全的问题最终是人的问题，你不重视，早晚有人来钻漏洞。一把锁总是可能被撬开的，但是如果你门都不锁，被别人偷了就不能怪锁不够牢靠。
• 安全防范并不是说要做到滴水不漏，而是尽可能增加对方的攻击成本。
• 总体来说，这本书还是从一定程度上开阔了我们对于web安全的眼界，知道怎么攻，才能更好的懂的怎么防。