HTTP 安全风险是什么意思?万维网联盟(由 Jeffrey Jaffe 和万维网发明者 Tim Berners Lee 运营的国际网络社区)在 1999 年的一份备忘录中记录了与 HTTP/1.1 相关的许多不同的安全考虑和潜在的攻击向量:
什么是 HTTP 安全风险
个人信息披露:理想情况下,网站应该提供一个界面,允许用户控制他们在网站上输入的个人信息的披露程度,但情况并非总是如此,最终用户依赖网站管理员获取设计灵感。
滥用服务器日志信息:Web 服务器记录网站访问者的导航行为。此信息可用于收集有关最终用户的私人信息
敏感信息的不安全传输:HTTP 无法规范通过它传输的数据的实际内容
对 URL 中的敏感信息进行编码:链接的来源可能是私人信息,也可能是私人信息的来源被无意泄露。
与 Accept 标头相关的隐私问题:另一种类型的数据,可用于与其他数据源进行三角测量以识别最终用户。这种隐私损失在服务器端是安全的,但最终用户的信息也由网站管理员决定。
基于文件名和路径名的攻击:在不安全的系统中,不良行为者可以获得他们可以访问的内容的 URL,例如“site.com/resource/profile/jon profile.docx”,并在分类法中导航以访问 /profile/技术上不应该的目录。
DNS 欺骗:HTTP 严重依赖域名服务,这些服务将域名(例如 brightedge.com)与底层 IP 地址相关联。不良行为者会故意将 IP 地址 DNS 对与“欺骗”的 DNS 相关联,从而将用户导航到与他们预期完全不同的站点。
位置标头和欺骗:与 DNS 欺骗问题类似,托管多个彼此不关联的组织的服务器必须检查 Location 标头和 Content-Location 标头的值,以确保这些组织不会试图侵犯他们没有的资源不拥有。
身份验证凭据和空闲 Web 客户端:HTTP 无法让客户端丢弃缓存的身份验证凭据
HTTP 代理和缓存(“中间人”攻击)
对代理的拒绝服务攻击 (Ddos)
如何解决 HTTP 安全风险?
采用 HTTPS 是解决安全风险的最有效和最简单的方法。您只需要购买一个HTTPS证书(SSL证书),部署在您的服务器上,客户端通过浏览器访问即可通过HTTPS访问。此时,客户端与服务器上的数据进行交互。都是密文,SSL证书的域名会根据你浏览器的域名进行匹配。浏览器会自动组织DNS攻击,让你轻松防范HTTP安全隐患。
:什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?,https://vps.caogenba.com.com/69002.html
如今做站的人不多了,多个朋友多条路子,加入站长论坛和大佬们同道交流,Tips:可以免费打广告哦~ 点击立即加入>>