来自 应用 2021-10-11 22:30 的文章

高防御cdn_防火墙防ddos攻击_限时优惠

高防御cdn_防火墙防ddos攻击_限时优惠

随着Google正式放弃对Flash广告的支持,转而支持HTML5,这种相对年轻的编程和脚本语言的安全性变得极其重要。作为一个基于web的应用程序总是会引发网络犯罪,这意味着代码完整性非常重要。下面的文章将阐述开发人员为提高HTML5安全性而必须采用的最重要的应用程序编程接口(API)编码实践。 由于这种语言的广泛性,下面提到的最佳实践将只涉及通信和存储api,许多人认为这对HTML5的安全性是最关键的。地理定位API、表单API和离线应用程序API也不容忽视。HTML5将这些API编织在一起,提供丰富的web体验。 注意你的通信API 通信API允许HTML5页面彼此通信,即使不是通过同一个域加载的。如果做得不安全,HTML5的安全性就会受到损害。 1–网络信息 这个API也被称为跨域消息传递,它提供了一种在不同来源的文档之间进行消息传递的方法,这种方式通常比过去用来完成此任务的"黑客"更安全。 在发布消息时显式声明预期的来源。接收页应始终检查发送方的origin属性。这有助于验证接收到的数据确实是从预期位置发送的。接收页面还应该对事件的data属性执行输入验证。这有助于确认数据确实是所需的格式。两个页面都应该将交换的消息解释为数据,而不是代码。安全地为元素分配数据值–textContent=data。应避免不安全的方法(即-element.innerHTML=数据)。 嵌入外部/不受信任的内容并允许用户控制的脚本是危险的。如果需要,必须使用JavaScript重写框架(即googlecaja)来完成。 2–跨来源资源共享 这个功能在内部被称为CORS,允许从浏览器进行跨域通信。为了获得最佳的HTML5安全性,开发人员应确保: 验证传递给open的URLSs。大多数现代浏览器允许跨域访问,这使得它们容易受到代码注入的攻击。特别注意绝对网址。确保响应访问控制允许源的URL不包含敏感信息。另外,不要对整个域使用头。丢弃通过纯HTTP和HTTPS来源接收的请求,以防止错误。访问控制检查不依赖于Origin头,因为它们可以在浏览器外部被欺骗。使用应用程序级协议保护敏感数据。 3–网络插座 websocketapi有助于在浏览器和服务器之间建立持久的连接。但是编码过程中的小故障可能会导致安全性崩溃。开发商必须: 禁用所有服务器的向后兼容性,并确保您使用的协议版本高于hybi-00。例如,Hixie-76版本是不安全和过时的。WebSocket协议rfc6455,防御ddos限制端口,所有浏览器都支持,是一个可以使用的协议。WebSocket协议不处理授权或身份验证。应制定应用程序级协议来分别处理这些问题。将WebSocket接收的消息作为数据而不是代码进行处理。另外,ntpddos防御,不要直接将其分配给DOM。如果响应是JSON,如何防御300g的ddos,服务器防御策略cc,请使用safe parse()选项。确保服务器可以处理非法/恶意输入,以避免欺骗攻击。 4–服务器发送的事件 此API用于打开HTTP连接以接收来自服务器的推送通知。 始终验证传递给EventSource的URL。检查消息的origin属性(origin),确保它来自可信域。您可以使用白名单解决方案。  使用HTML5进行侧移。图片来源:Adrian Michalczyk 别忘了存储API 在许多方面类似于cookies,HTML5允许浏览器保存比web会话更持久的值。事件也可以在浏览器窗口之间传输。开发人员必须小心编码。 1–本地存储/脱机存储/Web存储 通过这种存储,html5web应用程序可以在用户的web浏览器中存储数据。 强烈建议不要在本地存储中存储敏感信息。当不需要持久存储时,选择object sessionStorage。注意HTML5页面中的"getItem"和"setItem"调用。这有助于检测何时将敏感信息放入本地存储。会话标识符可由JavaScript访问。不要把它们放在本地仓库里。这可以通过使用cookies和httpOnly来解决避免在本地存储中托管来自同一源的多个应用程序的做法,因为它们都将共享同一个localStorage 2–客户端数据库 有一些API属于这一类—Web存储、Web SQL数据库、索引数据库和文件访问。它们帮助应用程序离线可用,同时提高性能。 客户端Web数据库内容经常容易受到SQL注入的攻击。开发人员必须确保内容经过正确验证和参数化。就像本地存储一样,恶意数据可以通过跨站点脚本(XSS)进入web数据库。因此,任何数据都是不可信的。提高HTML5安全性的安全编码实践 世界上所有的安全实践都不能替代正确的应用程序安全测试。HTML5的安全性取决于适当的测试,最好是在开发过程中。不幸的是,传统的安全解决方案,如渗透(Pen)测试和手动代码审查无法实现这一点。这就是静态应用程序安全测试(SAST)进入画面的地方。 静态代码分析(SCA)是领先的SAST解决方案,可以直接集成到开发过程中。这有助于快速检测和减轻应用层漏洞,这有助于组织节省大量资源和资金。解决方案通常直接位于开发人员的IDE中,让他们直接参与安全过程。 自动化HTML5安全性的其他好处包括:创建一个安全的软件开发生命周期(sSDLC),当检测到中等/严重缺陷时,这有助于中断构建。敏捷/DevOps/CICD开发场景的最佳安全性能,全球越来越多的组织正在实施这些方案。减少安全人员和开发团队与组织的摩擦。即使是高管们也对产品上市延迟的减少感到高兴。开发人员在安全方面是积极主动的。扫描报告可以导出用于在线审查、未来规划和教育目的。SCA利用了黑客唯一无法访问的东西——源代码。这种优势是至关重要的,在发现重大缺陷时会起到重要作用。 不管SCA/SAST的上述优点如何,HTML5安全性需要一种多层方法。开发阶段的扫描可以而且应该在发布前通过笔测试来补充。此外,还可以选择实现发布后解决方案,例如一直流行的Web应用防火墙(WAF),它可以检测和阻止恶意输入。 简单地说,ddos防御软件免费,没有单一的安全解决方案是完美的。因此,在不同的阶段实现两个或多个可以帮助优化HTML5安全过程。注意安全! 要了解更多有关HTML5安全性的信息,请单击此处 应用程序安全性最佳实践IOS应用程序安全性SDLCSTATIC代码分析生物最新帖子莎朗·所罗门莎朗·所罗门的最新帖子物联网(IoT)-破解我的军队-2016年3月14日静态代码分析工具-AppSec检查表-2016年3月3日OSI模型中的应用层安全-2016年2月4日