web安全与性能优化(web 攻击)

web安全与性能优化(web 攻击)
前端经典项目框架如下
web安全与性能优化(web 攻击)
全栈项目经典后端框架如下
web安全与性能优化(web 攻击)
前端技术栈如下:(可自行百度看API文档)
–elementUI
– Vue.js
– Npm
– Webpweb安全与性能优化(web 攻击)
CDN
• CDN的全称是Content Delivery Network,即内容分发
网络。CDN是构建在现有网络基础之上的智能虚拟网络,
依靠部署在各地的边缘服务器,通过中心平台的负载均
衡、内容分发、调度等功能模块,使用户就近获取所需
内容,降低网络拥塞,提高用户访问响应速度和命中率。
CDN的关键技术主要有内容存储和分发技术。

CDN边缘服务器实现负载均衡、内容分发、调度等功能如下:
web安全与性能优化(web 攻击)
• CDN缓存原理:
web安全与性能优化(web 攻击)
• CDN节省骨干网带宽,提高服务器访问速度与稳定性,
能克服网站分布不均的问题:

web安全与性能优化(web 攻击)

数据库优化
• 数据库优化主要包含以下几类:

  – SQL调优与索引(解决大部分问题)  SQL以及索引的优化是最重要的。首先要根据需求写出结构良好的 SQL,然后根据SQL在表中建立有效的索引。但是如果索引太多,不 但会影响写入的效率,对查询也有一定的影响。  – 数据结构 – 系统配置 – 硬件   – SQL调优与索引(解决大部分问题) – 数据结构 要根据一些范式来进行表结构的设计。设计表结构时,就需要考虑如 何设计才能够更有效的查询。 – 系统配置 – 硬件  – SQL调优与索引(解决大部分问题) – 数据结构 – 系统配置 系统配置的优化。MySQL数据库是基于文件的,如果打开的文件数达 到一定的数量,无法打开之后就会进行频繁的IO操作。 – 硬件   – SQL调优与索引(解决大部分问题) – 数据结构 – 系统配置 – 硬件 硬件优化。更快的IO、更多的内存。一般来说内存越大,对于数据库 的操作越好。但是CPU多就不一定了,因为他并不会用到太多的CPU 数量,有很多的查询都是单CPU。另外使用高的IO(SSD、RAID)。  – HTML静态化: 效率最高、消耗最小的就是纯静态化的html页面,所以我们尽可能使 我们的网站上的页面采用静态页面来实现,这个最简单的方法其实也 是最有效的方法。但是对于大量内容并且频繁更新的网站,我们无法 全部手动去挨个实现,于是出现了我们常见的信息发布系统CMS,像 我们常访问的各个门户站点的新闻频道,甚至他们的其他频道,都是 通过信息发布系统来管理和实现的。  – 图片服务器分离 – 缓存 – 负载均衡   – HTML静态化 – 图片服务器分离 – 缓存 – 负载均衡 负载均衡将是大型网站解决高负荷访问和大量并发请求采用的高端解 决办法。可以使用Nginx实现。  

请求响应优化
• 减少DNS查找:每次主机名的解析都需要一次网络往返, 从而增加了请求的延迟时间,同时还会阻塞后续的请求。
• 减少HTTP重定向。HTTP冲定向需要额外的DNS查询、 SELECT * FROM user WHERE username='admin' AND password='password'

此处adminpasswd分别为用户输入的用户名和密码
如果程序员没有对用户输入的用户名和密码做处理,就
可以构造万能密码成功绕过登录验证,如:

#输入密码: 'or'1'=='1  SELECT * FROM user WHERE username=='' AND password='' or '1'=='1' 

• SQL注入问题的解决方案:
– 做好客户端表单验证。
– 做好服务端参数验证。
– 数据库使用预编译的SQL语句。

XSS跨站脚本攻击

• XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠
样式表(Cascading Style Sheets, CSS)的缩写混淆,故
将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里
插入恶意Script代码,当用户浏览该页之时,嵌入其中
Web里面的Script代码会被执行,从而达到恶意攻击用
户的目的。

这里举一个简单的例子,留言板通常的任务就是把用户
留言的内容展示出来。正常情况下,用户的留言都是正
常的语言文字,留言板显示的内容也就没毛病。然而这
个时候如果有人不按套路出牌,在留言内容中丢进去一
行:

<script> alert("hey!you are attacked") </script> 

那么留言板的内容将会变为以下代码:

web安全与性能优化(web 攻击)
XSS的危害有如下几类:
– 窃取网页浏览中的cookie值
在网页浏览中我们常常涉及到用户登录,登录完毕之后服务端会返回 一个cookie值。这个cookie值相当于一个令牌,拿着这张令牌就等同 于证明了你是某个用户。
– 劫持流量实现恶意跳转
– 窃取网页浏览中的cookie值 – 劫持流量实现恶意跳转
这个很简单,就是在网页中想办法插入一句像这样的语句:

<script>window.location.href="http://www.baidu.com"; </script> 

• XSS的解决方案:
使用转义解决。将<转义为&lt; >转义为&gt;

XSRF跨站请求伪造

跨站请求伪造(英语:Cross-site request forgery),
也被称为 ·one-click attack· 或者 ·session riding·,通常
缩写为 CSRF 或者 XSRF, 是一种 挟制用户 在当前已登 录Web应用程序上执行非本意的操作的 攻击方法。跟
**跨网站脚本(XSS)**相比,XSS 利用的是用户对指定网 站的信任CSRF 利用的是网站对用户网页浏览器的信任

XSRF跨站请求伪造
例如:
– 假如一家银行用以运行转账操作的URL地址如下:

http://www.examplebank.com/withdraw? account=zhangsan&amount=1000&for=lisi 

– 那么,一个恶意攻击者可以在另一个网站上放置如下代码:

<img src="http://www.examplebank.com/withdraw? account=zhangsan&amount=1000&for=Badman">  

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,
登录