主机评测网,专注vps、独立服务器等主机评测
最专业的主机评测网站

什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?

什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?

HTTP 安全风险是什么意思?万维网联盟(由 Jeffrey Jaffe 和万维网发明者 Tim Berners Lee 运营的国际网络社区)在 1999 年的一份备忘录中记录了与 HTTP/1.1 相关的许多不同的安全考虑和潜在的攻击向量:

什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?

什么是 HTTP 安全风险

个人信息披露:理想情况下,网站应该提供一个界面,允许用户控制他们在网站上输入的个人信息的披露程度,但情况并非总是如此,最终用户依赖网站管理员获取设计灵感。

滥用服务器日志信息:Web 服务器记录网站访问者的导航行为。此信息可用于收集有关最终用户的私人信息

敏感信息的不安全传输:HTTP 无法规范通过它传输的数据的实际内容

对 URL 中的敏感信息进行编码:链接的来源可能是私人信息,也可能是私人信息的来源被无意泄露。

与 Accept 标头相关的隐私问题:另一种类型的数据,可用于与其他数据源进行三角测量以识别最终用户。这种隐私损失在服务器端是安全的,但最终用户的信息也由网站管理员决定。

基于文件名和路径名的攻击:在不安全的系统中,不良行为者可以获得他们可以访问的内容的 URL,例如“site.com/resource/profile/jon profile.docx”,并在分类法中导航以访问 /profile/技术上不应该的目录。

DNS 欺骗:HTTP 严重依赖域名服务,这些服务将域名(例如 brightedge.com)与底层 IP 地址相关联。不良行为者会故意将 IP 地址 DNS 对与“欺骗”的 DNS 相关联,从而将用户导航到与他们预期完全不同的站点。

位置标头和欺骗:与 DNS 欺骗问题类似,托管多个彼此不关联的组织的服务器必须检查 Location 标头和 Content-Location 标头的值,以确保这些组织不会试图侵犯他们没有的资源不拥有。

身份验证凭据和空闲 Web 客户端:HTTP 无法让客户端丢弃缓存的身份验证凭据

HTTP 代理和缓存(“中间人”攻击)

对代理的拒绝服务攻击 (Ddos)

如何解决 HTTP 安全风险?

采用 HTTPS 是解决安全风险的最有效和最简单的方法。您只需要购买一个HTTPS证书(SSL证书),部署在您的服务器上,客户端通过浏览器访问即可通过HTTPS访问。此时,客户端与服务器上的数据进行交互。都是密文,SSL证书的域名会根据你浏览器的域名进行匹配。浏览器会自动组织DNS攻击,让你轻松防范HTTP安全隐患。

:什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?,https://vps.caogenba.com.com/69002.html

如今做站的人不多了,多个朋友多条路子,加入站长论坛和大佬们同道交流,Tips:可以免费打广告哦~ 点击立即加入>>

赞(0) 打赏
未经允许不得转载:主机测评 » 什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?

评论 抢沙发

登录

找回密码

注册