Web 安全

确保您的 Web 站点或 Web 应用安全是十分重要的,即使是代码中很小的 bug 也可能导致隐私信息被泄露,黑客会尝试偷窃数据。这些文档提供信息帮助您使代码更安全。此处列出的面向 Web 安全的文章提供的信息可以帮助您保护站点及其代码免受攻击和数据窃取。

CSP (内容安全策略)
内容安全策略(CSP)是一个附加的安全层,有助于探测和减轻某些类型的攻击,包括跨站脚本攻击(XSS)和数据注入攻击。这些攻击被广泛使用,从数据窃取到网站污损亦或是恶意软件的分发。
信息安全基本原理
了解安全基本原理会帮助你理解在 web 开发生命周期中安全的角色和重要性。它将帮助你避免使用不必要的、允许攻击者利用缺陷获得经济收益或其他恶意目的非完全软件。以下文章提供了一些基本的 web 安全理论和定义。
不安全的密码
HTTPS 协议旨在保护用户数据在网络上不被窃听(机密性) 和不被篡改(完整性)。处理用户数据的网站应该使用 HTTPS 协议保护他们的用户不受黑客的侵害。如果网站使用 HTTP 协议而不是 HTTPS 协议,窃取用户信息(比如他们的登录凭证)将会轻而易举。这曾经被 Firesheep 很好地演示过。
混合内容
当用户访问通过 HTTPS 协议传输的页面时,他们与 web 服务器的连接被 TLS 加密保护,因而免受嗅探器和中间人攻击。如果这个通过 HTTPS 访问的页面包含通过定期的明文 HTTP 获取的内容,那么该连接就只是部分加密;没有加密的内容可以被嗅探器获取、被中间人攻击篡改,因此该连接不受安全保证。当网页表现出这样的行为,就称为混合内容页面。
公钥固定
HTTP 公钥固定扩展 (HPKP) 是一种安全功能,用来告诉 web 客户端与一些 web 服务器关联特定的加密公钥来阻止 MITM 伪造证书攻击。
同源策略
同源策略限制了一个源(origin)中加载的文档或脚本与其他源(origin)中的资源交互的方式。这是一种用来隔离潜在恶意文档的关键安全机制。
安全环境
当浏览器满足安全的最低要求时将进入一种安全环境。安全环境允许浏览器暴露那些只有在被安全地传输给用户时才被允许的 APIs。
保护你的网站
有很多你可以做的事情能够保护你的网站安全。本文提出了各种各样的建议,还有其他提供了更多有用信息文章的链接。
网站身份按钮
编辑审核完成。
子资源完整性
子资源完整性 (SRI) 是一种安全功能,允许浏览器验证所获取的文件 (比如,从一个 CDN 内容分发网络) 是无意外操作而交付的。它的工作原理是允许你提供一个获取文件必须匹配的加密哈希。
传输层安全协议
在传输层安全协议中选择合适的密码套件和参数是必要且重要的。它有助于维护客户端和服务器之间通信的机密性和完整性。Mozilla 操作安全团队(OpSec)参考传输层安全协议配置维护着 一条 wiki 条目
弱签名算法
编辑审核完成。
Site Identity Button
Site Identity Button 是火狐的一个特性,用于向用户提示更多他们已经访问过的网站的信息。
Subresource Integrity
子资源完整性(SRI)是允许浏览器检查其获得的资源(例如从 CDN 获得的)是否被篡改的一项安全特性。它通过验证获取文件的哈希值是否和你提供的哈希值一样来判断资源是否被篡改。
传输层安全协议
在传输层安全协议中选择合适的密码套件和参数是必要且重要的。它有助于维护客户端和服务器之间通信的机密性和完整性。Mozilla 操作安全团队(OpSec)参考传输层安全协议配置  维护一条 wiki 条目
信息安全基础
了解安全基础知识有助于你了解整个Web开发生命周期中安全性的作用和重要性。 这将帮助你避免不必要的不安全软件,使得攻击者利用漏洞获得经济利益或其他恶意用途。以下的文章提供一些基本的Web安全理论和定义。
内容安全策略 (CSP)
内容安全策略 (CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。
浏览器的同源策略
同源策略限制了从同一个源加载的文档或脚本如何与来自另一个源的资源进行交互。这是一个用于隔离潜在恶意文件的重要安全机制。
确保你的站点安全
你可以采取一些措施来确保你的网站安全。本文提供了各种建议,以及提供更多有用信息的其他文章的链接。