10年网站建设优化实战经验
18217721733

贵的网站比便宜网站好在哪:你的网站够安全吗?

上海知九信息 建站费用 网站安全 2018-11-22

网站建设是一种非标准化的信息技术服务,也比较难有一个统一的标准化的价格体系。大家在一轮比价后,发现各家的网站报价差距比较大,但是不清楚差距在何处。本文以网站前端安全为切入点,来看看贵的网站比便宜的网站好在哪。

表单是网站里面一个很常见的元素,比如客户的意见反馈、咨询留言、活动报名、注册登录等,都会使用到这个功能。就这样一个简单的功能里面,却隐藏着很多危机,比如:XSS攻击

XSS(Cross-Site-Scripting)攻击是一种常见的网络攻击,又称跨站脚本,是由于Web应用程序对用户的输入过滤不足而产生的。

常见的 XSS 攻击有三种:反射型、DOM-based 型、存储型。 其中反射型、DOM-based 型可以归类为非持久型 XSS 攻击,存储型归类为持久型 XSS 攻击。

1.反射型

反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。

对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过 URL 的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。反射型 XSS 的触发有后端的参与,要避免反射性 XSS,必须需要后端的协调,后端解析前端的数据时首先做相关的字串检测和转义处理。

此类 XSS 通常出现在网站的搜索栏、用户登录口等地方,常用来窃取客户端 Cookies 或进行钓鱼欺骗

2.DOM-based 型

客户端的脚本程序可以动态地检查和修改页面内容,而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行,如果用户在客户端输入的数据包含了恶意的 JavaScript 脚本,而这些脚本没有经过适当的过滤和消毒,那么应用程序就可能受到 DOM-based XSS 攻击。需要特别注意以下的用户输入源 document.URL 、 location.hash 、 location.search 、 document.referrer 等。

3.存储型

攻击者事先将恶意代码上传或储存到漏洞服务器中,只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。

存储型 XSS 一般出现在网站留言、评论、博客日志等交互处,恶意脚本存储到客户端或者服务端的数据库中

XSS攻击会导致几个后果:1、攻击劫持访问;2、盗用cookie实现无密码登录;3、完成恶意请求;4、破坏网页正常的结构、样式甚至显示内容

被黑客攻击整版显示赌博和色情信息的网站屡见不鲜,足见网站安全的重要性。如果网站有会员系统或者涉及在线支付和金融相关业务时,这些安全问题更是重中之重。

回想一下,在你和建站公司的沟通过程中,有没有谈及网站安全方面的具体内容。如果没有,那建站公司会不会帮你完善相关的安全防护呢,特别是模板建站和价格超低的定制建站。

这只是网站建设中很小的一个方面,网站建设的费用差异往往就是由这些不经意的细节加总起来的。