2020-03-03 13:30:42 佚名

曾繁元

接口暴露是必須存在的，頂多是做一些掩飾，防防小白，但真要抓到你網站的接口，除非你不用，比如原始的php服務端渲染網頁，但現在都是前後端分離，為了開發和維護，是要損失一些東西的。

Web開發，如果對安全有考慮，可以參考下面三個原則，適當調整和改造即可。

防竊取：非對稱加密RSA，公鑰加密，私鑰解密等

防篡改：MD5混淆算法，加鹽

防洩露：設定token機制，令牌限制

有骨有度

html屬於的前端編程中一項，接口是必須要暴露的，起碼基於現在的技術框架是無法避免的，因為只要是有關html的代碼只需要在瀏覽器裡面右鍵點擊查看源代碼所有的相關的html代碼都會原封不動的展示出來，所以前端頁面的很多樣式特效只要有一家有新的變化出來，緊接著很快就會被抄襲拷貝了，樣式和風格太容易拿來使用了，所以想在加密只能在數據接口上做做文章，現在web安全已經成為一個非常熱點的問題，因為隨著網頁應用的普及化網頁安全將會越來被重視。

常見的web都有哪些安全隱患，為什麼要重視web安全？

SQL注入：這種危害性最大，直接違背設計者的初衷，注入篡改數據庫操作，再嚴重點直接操縱數據庫服務器，網站越大數據庫被拖庫的可能性越大，這是各大運營網站必須要面對的實際問題。在實際操作過程中對於用戶的信息一定要管控，不要由著用戶輸入任何可能性對數據庫產生危害的操作，不要使用動態拼接SQL，儘量不要返回異常信息給用戶。

XSS：跨站腳本攻擊

向web網頁注入html腳本獲取cookie為主，以js注入執行為主，導航到惡意網站或者注入木馬，防護規則其實也很簡單在js中，過濾掉關鍵字：JavaScript，cookie屬性設置為http-only，同時提高代碼嚴謹度和規範性比如在避免未經授權訪問會話狀態，限制會話的壽命，對身份驗證的cookie進行加密，避免明文的形式密碼發送。

當然還有其他的隱患：比如沒有限制URL訪問，越權訪問，重複提交增加服務器負載等都是web安全領域涉及到的問題，現在web開發越來越傾向於前後端分離的方式，極大提升了開發的效率，但安全防護級別降低了，話又說回來只要在互聯網上的東西很難保證絕對的安全，對於web來講不上網就相當於癱瘓，所以只能在防護級別增加力度，為了防止被盜就採用數字加密方式常見的加密方式有（非對稱的RSA，私鑰加密等等），加鹽操作（在擁有MD5算法的基礎上採用加鹽策略）普及下簡單的概念加鹽：“在密碼學中，是指通過在密碼任意固定位置插入特定的字符串，讓散列後的結果和使用原始密碼的散列結果不相符，這種過程稱之為“加鹽””，另外還有一種給現在支付吧或者微信接口經常使用的token機制，用令牌限制，這種通用性比較強，相當於在傳輸真正的數據之前先發送一個令牌指令驗證打開門，驗證通過之後才允許數據安全通過，而且這個令牌也是有期限的，到期了就會關閉。

網絡的世界裡面沒有絕對的安全，在平常的開發過程中，代碼的規範性以及嚴謹程度也會影響到安全指數，現在的網站開發功能一般都比較強大，參與人數多都會加大出錯的概率，而且經常還有一個服務器上運行多個運營平臺，這些都是安全隱患，絕大部分安全都是因為個人失誤造成。

安全是無法完全杜絕，但可以通過一些方案或者措施最大程度的規避。

希望能幫到你。

大學生編程指南

這個確實不能避免，對於開發者而言，直接f12打開調試模式就能看到，就算你隱藏得再深，但是請求數據的過程，還是會參與網絡通信，只要是網絡通信，那麼肯定會有數據包交互，對於高手而言，用抓包工具，抓取數據包，然後分析得出你的接口地址，那是很簡單的事。

如果接口的保密性真有那麼高要求的話，你可以給接口加驗證，比如，登錄的cookie、或者是加一個token驗證，就像微信開放平臺的那套接口一樣，要使用接口，先要去請求token的接口，獲取到一個token，然後在請求真實的接口，並把這個token傳遞過去，後臺驗證這個token是否存在，如果存在才把數據返回去，當然，這個token必須得有一個過期時間，不能一直有效，否則就沒有什麼意義了。