Front and rear separation of security issues

网站安全策略
最新推荐文章于 2025-01-11 09:54:11 发布
原创 最新推荐文章于 2025-01-11 09:54:11 发布 · 656 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#server #web #secriuty

本文提出了一套网站安全策略,包括使用POST请求、同源策略、RSA加密传输敏感信息、登录验证时使用临时token以及防范cookie被伪造的方法。

登录验证以及安全问题:
1、请求接口全部用post方式,在后端判断请求方式是否为post
2、前后端代码放在同一服务器,在后端判断请求的来源是否与服务器同源:

$source_url = parse_url($_SERVER['HTTP_REFERER']);

$server_url = isset($_SERVER['HTTP_X_FORWARDED_HOST']) ? $_SERVER['HTTP_X_FORWARDED_HOST'] : (isset($_SERVER['HTTP_HOST']) ? $_SERVER['HTTP_HOST'] : '');

if($source_url['host']!=$server_url){
    //不同源,禁止访问
}

3、登录密码等敏感信息要加密后传输,如用RSA(支付宝里可下载公私钥生成工具),客户端公钥加密,传到服务器后再用私钥解密:

//js公钥加密
function encrypt(data)
{
    //需要引入插件jsencrypt.js 下载地址http://download.youkuaiyun.com/detail/codercwm/9770398

    var RSA_PUBLIC_KEY = '';//私钥写在这里

    var obj = new JSEncrypt();

    obj.setPublicKey(RSA_PUBLIC_KEY);

    var data = obj.encrypt(data);

    return data;
}

//php解密函数
function decrypt($data) {
    $data = base64_decode($data);

    //读取私钥
    $key_private = file_get_contents('./rsa_private_key.pem', 'r');

    //进行解密
    if(!openssl_private_decrypt($data, $data, openssl_pkey_get_private($key_private))) {
        return false;
    }

    return $data;
}

4、登录验证问题
(1)前后端代码放在同一个服务器,依旧可以使用session保存登录信息;
(2)在登录过程中,如果密码是明文提交,传输过程中可能会被拦截,即使加密后传输,也可用拦截到的已加密密码直接请求服务器进行登录,而且因为加密的代码是在客户端js中的,黑客可以修改客户端js,用拦截到的已加密的密码绕开此加密代码请求服务器进行登录,这是非常危险的,所以我想出了如下方案:

请求登录页面时,服务器生成一个临时token存储在服务器(session)并返回给客户端,用户提交登录时把密码和临时token拼接后通过RSA加密传回到服务器(拼接后再加密的原因是为了防止别人拦截到单单是密码加密的字符串,因为如果拿到了单单是密码加密的字符串,即如上面所说的,无论如何也可以进行假冒登录的),传到服务器解密后把密码和token取出,判断token是否正确,若正确即进行密码判断等一系列登录操作,登录成功后销毁这个临时token。 
这样即使在用户提交数据的过程中数据被拦截,拦截到的数据也是密码和临时token拼接后加密的数据,即使黑客用此数据直接对服务器进行请求,因为用户登录成功后临时token已被销毁,所以黑客并不能登录成功。

5、关于拦截和伪造cookie进行登录的预防:
(1)用户登录后,由于是用cookie记录sessid,如过请求过程中cookie被拦截,黑客就可以利用此cookie中的sessid在另一台电脑上进行登录,直至用户退出登录服务器session被销毁,这样是非常危险的,所以我想出了如下方案:

登录后生成一个临时token储存到服务器并传回到客户端,客户端下次请求时把此token传到服务器,判断与服务器中储存的token是否一样,如不一样即为未登录,如一样即销毁此token并生成新的token返回到客户端让客户端在下一次请求的时候再传回进行判断,如此重复。 
这种方法也有一个漏洞,如果用户在一次请求后,还未进行下一次请求就已被黑客拦截到登录信息并进行假冒登录,他一样可以登录成功并使用户强制下线,但这种方法已大大减少被假冒登录的机会

6、结合4、5两种方案,我的做法如下:

用户请求登录页面的时候,服务器生成一个token保存在服务器session中和客户端cookie中,登录时客户端带上此token一起提交到服务器,验证此token是否有效,若有效即登录成功并更新此token,重新赋值到session和cookie中; 
登录后的用户在每一次请求时都判断cookie中的token和session中的token是否一样,若一样即登录有效,并且要更新token,下次请求再进行判断,若不一样即登录无效。
一朵红杏
关注
Spring Security -- 前后端分离时的安全处理方案
AS011x的博客
09-03 1661
今天就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,一一哥只能建议你先查阅一下相关资料,本文 只能带你简单了解一下前后端分离的概念,毕竟今天我们是在讲解如何保证安全性的。还有的小伙伴会说,前后端分离有什么了不起,为啥就需要单独处理?它和前后端不分离时有什么不同?那么就让我们带着这些疑问来开始今天的内容吧!我们还是先来了解一下前后端分离这种开发模式吧,看看到底什么是前后端分离!
实现前后端分离,保障安全性:探索Spring Security与JSON交互的最佳实践
Reische的博客
11-10 778
我们知道,当用户登录时,用户名或者密码输入错误,我们一般只给一个模糊的提示,即「用户名或者密码输入错误,请重新输入」,而不会给一个明确的诸如“用户名输入错误”或“密码输入错误”这样精确的提示,但是对于很多不懂行的新手小伙伴,他可能就会给一个明确的错误提示,这会给系统带来风险。但是在前后端分离中,这个逻辑明显是有问题的,如果用户没有登录就访问一个需要认证后才能访问的页面,这个时候,我们不应该让用户重定向到登录页面,而是给用户一个尚未登录的提示,前端收到提示之后,再自行决定页面跳转。官方这样做的好处是什么呢?
基于NodeJS的前后端分离的思考与实践(四)安全问题解决方案
01-02
前言 在前后端分离的开发模式中,从开发的角色和职能上来讲,一个最明显的变化就是:以往传统中,只负责浏览器环境中开发的前端同学,需要涉猎到服务端层面,编写服务端代码。而摆在面前的一个基础性问题就是如何保障Web安全? 本文就在前后端分离模式的架构下,针对前端在Web开发中,所遇到的安全问题以及应对措施和注意事项,并提出解决方案。 跨站脚本攻击(XSS)的防御 问题及解决思路 跨站脚本攻击(XSS,Cross-site scripting)是最常见和基本的攻击Web网站的方法。攻击者可以在网页上发布包含攻击性代码的数据,当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS
前后端API交互如何保证数据安全性?
weixin_34009794的博客
06-04 7349
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的...
实现前后端分离--java接口的安全性问题
Jack__iT的博客
09-27 4847
在前后端分离的开发中,后台提供的接口如何能保证访问权限安全?主要是身份验证、数据加密、访问控制(访问频率、访问访问次序,每个IP次数) 一、.签名     根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis) 在使用Base...
GMW 16718-2012 Front and Rear Knuckles.pdf
09-12
GMW 16718-2012 Front and Rear Knuckles.pdf
循环队列中由于frontrear指针位置定义不同导致的判空、判满条件差异
m0_74110156的博客
01-11 590
花了好长时间将这四种组合理了一下,希望对自己和大家有所帮助,要是您发现哪里不妥,还请多多指点呀,先谢过啦!通过来判断循环队列的空和满状态,以下是基于这个前提下,针对不同的frontrear
设计一个环形队列,用frontrear非别作为对头和队尾指针
10-19
数据结构第二章第十五题答案,经过改动完全符合题目规则,适合需要交作业的同学们
设计一个环形队列,用frontrear分别作为队头和队尾指针
11-29
设计一个环形队列,用frontrear分别作为队头和队尾指针,另外用一个tag表示队列是空(0)还是不空(1),这样就可以用front==rear作为队满的条件。要求设计队列的相关基本运算算法。
环形队列,用frontrear作为对头和队尾指针,tag表示队列是空还是不空
10-13
设计一个环形队列,用frontrear分别作为队头和队尾指针,另外用一个tag表示队列是空(0)还是不空(1),这样就可以用front==rear作为堆满的条件。要求设计队列相关基本运算算法。 数据结构上机作业 第二章15题 张...
WEB前后端分离开发中的验证与安全问题
weixin_33795806的博客
05-13 245
登录验证以及安全问题:1、请求接口全部用post方式,在后端判断请求方式是否为post 2、登录密码等敏感信息要加密后传输,如用RSA(支付宝里可下载公私钥生成工具),客户端公钥加密,传到服务器后再用私钥解密: //js公钥加密 function encrypt(data) { //需要引入插件jsencrypt.js 下载地址http://download.csdn.ne...
前后端分离架构中的接口安全(上篇)
热门推荐
李熠专用博客_白帽子一枚,人称低危终结者。免费收徒,有意者私信!!!
06-10 3万+
互联网发展至今,已由传统的前后端统一架构演变为如今的前后端分离架构,最初的前端网页大多由JSP、ASP、PHP等动态网页技术生成,前后端十分耦合,也不利于扩展。现在的前端分支很多,如:Web前端、Android端、IOS端,甚至还有物联网等。前后端分离的好处就是后端只需要实现一套界面,所有前端即可通用。 前后端的传输通过HTTP进行传输,也带来了一些安全问题,如果抓包、模拟请求、洪水攻击、参数劫...
前后端分离API安全/规范/设计/版本
07-15 725
开放接口/RESTful/Api服务的设计和安全方案详解 一文讲解API攻防问题 微信支付的接口签名算法 谈谈API接口开发中的安全性如何解决 浅谈如何保证API接口安全性 API 接口应该如何设计?如何保证安全?如何签名?如何防重? ...
前后端分离密码登陆加密RSA方案(java后端)
haoweng4800的博客
03-22 1214
前言:密码加密有很多种方案,这里不做过多讨论,本篇文章是基于RSA加密实现。 首先在前端工程中需要引入加密js:"jsencrypt": "2.3.1",(注意单独导入可能报错,可以删除整个node_modules,然后重新npm install) 然后在登陆提交表单的地方代码修改如下: // 引入js import {JSEncrypt} from 'jsencrypt'...
前后端分离 , 如何保证接口安全性 ?
沈光阳的博客
01-23 1万+
1. 完整的代码 前端vue代码 后端java代码 2. Api有哪些安全问题?http接口—前后端分离mvvm 3. Token授权机制 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。 4. 时间戳超时机制 时间戳,是客户端调用接口时对应的当前时间戳,时间戳用于防止DoS攻击。当黑客劫持了请求的url去DoS攻击,每次调用接口时接口都会判
前后端分离架构:数据安全攻防战全攻略
领码SPARK - 以无代码之星火,燎原数字之未来!
11-28 1577
在当今的 Web 开发领域,前后端分离架构因其显著的优势而被广泛应用。它能够提高开发效率、增强系统的可维护性和可扩展性。然而,这种架构也带来了一系列数据安全方面的挑战。本文将深入探讨前后端分离架构中的数据安全问题,并提出有效的应对策略,带你打赢这场数据安全攻防战。
前后端分离的弊端
liuhao9999的博客
02-28 876
为了解决这些问题,开发者可以采取一些措施,如加强API的安全性设计、建立完善的接口定义和文档管理机制、优化后端数据处理速度和网络状况、解决跨域问题、加强前后端开发人员的沟通和协同等。此外,还可以采取一些额外的措施来提高前后端分离架构的安全性,例如对敏感数据进行加密传输和存储、使用安全的密码策略、定期进行安全审计和漏洞扫描等。总之,避免前后端分离带来的问题需要前后端开发人员共同努力,从设计、开发、测试、部署等各个环节加强安全性和协同性。
前后端分离 用户名密码加密
n009ww的博客
12-23 3144
自己写了个简单的用户名密码加密功能,仅供参考。环境springboot vue 流程就是先获取一个随机口令,然后将用户名和密码拼在口令的后面,后台再提取出来 1.登录前获取随机口令 @RequestMapping(value = "/uuu", method = {RequestMethod.GET}) public ReturnBean uuu() { String ...
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 4934
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
frontrear
最新发布
10-14
在IT领域,`front`和`rear`常见于数据结构中,尤其是队列(Queue)这种数据结构。 ### 含义 - **front**:通常表示队列的队头。队列是一种先进先出(FIFO, First-In-First-Out)的数据结构,`front`指向队列中最早进入的元素,也就是下一个要被移除的元素的位置。 - **rear**:通常表示队列的队尾。它指向队列中最后一个进入的元素的位置,新元素将被添加到`rear`所指向的位置之后。 ### 用途 在队列操作中,`front`和`rear`起着关键作用,用于管理队列的入队(enqueue)和出队(dequeue)操作。 - **入队操作**:当一个新元素要加入队列时,会将该元素放置在`rear`所指向位置的下一个位置,然后更新`rear`指针,使其指向新的队尾元素。 - **出队操作**:当需要从队列中移除元素时,会移除`front`所指向的元素,然后更新`front`指针,使其指向下一个元素。 ### 代码示例 以下是一个使用Python实现的简单队列示例,展示了`front`和`rear`的应用: ```python class Queue: def __init__(self, capacity): self.capacity = capacity self.queue = [None] * capacity self.front = 0 self.rear = -1 self.size = 0 def is_full(self): return self.size == self.capacity def is_empty(self): return self.size == 0 def enqueue(self, item): if self.is_full(): print("Queue is full") return self.rear = (self.rear + 1) % self.capacity self.queue[self.rear] = item self.size += 1 def dequeue(self): if self.is_empty(): print("Queue is empty") return None item = self.queue[self.front] self.front = (self.front + 1) % self.capacity self.size -= 1 return item def display(self): if self.is_empty(): print("Queue is empty") return index = self.front for _ in range(self.size): print(self.queue[index], end=" ") index = (index + 1) % self.capacity print() # 创建一个容量为5的队列 queue = Queue(5) # 入队操作 queue.enqueue(1) queue.enqueue(2) queue.enqueue(3) # 显示队列元素 queue.display() # 出队操作 item = queue.dequeue() print(f"Dequeued item: {item}") # 再次显示队列元素 queue.display() ``` ### 其他应用场景 除了队列,`front`和`rear`也可能在其他数据结构或算法中用于表示边界或特定位置,例如双端队列(Deque)、循环缓冲区(Circular Buffer)等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值