常用安全注意點及解決方案
1、 繞過前端或安全驗證直接調用業務接口:(一般解決方法:服務端不要把安全校驗的代碼和具體業務代碼分開為2個接口,如提現密碼的校驗與提現業務不要分2個接口)
2、 CSRF攻擊:利用(而非擷取)安全值如登入态(如cookie中的登入token)攻擊接口(一般解決方法:前端、服務端配合,用随機數或目前比較常用的手機驗證碼或第三方極驗)
3、 暴力破解(一般解決方法:前端、服務端、産品設計配合做接口調用頻次限制)
4、 業務漏洞(一般解決方法:熟悉業務)
5、 并發:提起并發,大家可能更多的是并發性能瓶頸優化,如分表分庫,資料庫優化,緩存,消息隊列等等,這裡不是講這方面,而是在并發情況資源競争或髒讀資料,最終會導緻我們的資料可能是錯誤的,解決方法如對象鎖、事務、資料庫鎖、樂觀鎖等
6、 XSS攻擊(一般解決方法:前端編碼或參數限制、服務端編碼)
7、 SQL注入(一般解決方法:服務端sql參數化)
我的公衆号,謝謝關注:
![Web 開發常見安全問題[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)