| 本站:VPS参考评测推荐,专注分享VPS服务器优惠信息!若您是商家也可以在本站进行投稿,查看详情!此外我们还提供软文收录、PayPal代付、广告赞助等服务,查看详情! |
| 部分文章发布时间较久远,可能存在未知因素,购买时建议在本站搜索商家名称,可查看相关文章充分了解商家!若非中文页面可使用谷歌浏览器同步翻译!PayPal代付/收录合作 |
HTTP 安全风险是什么意思?万维网联盟(由 Jeffrey Jaffe 和万维网发明者 Tim Berners Lee 运营的国际网络社区)在 1999 年的一份备忘录中记录了与 HTTP/1.1 相关的许多不同的安全考虑和潜在的攻击向量:
什么是 HTTP 安全风险
个人信息披露:理想情况下,网站应该提供一个界面,允许用户控制他们在网站上输入的个人信息的披露程度,但情况并非总是如此,最终用户依赖网站管理员获取设计灵感。
滥用主机日志信息:Web 主机记录网站访问者的导航行为。此信息可用于收集有关最终用户的私人信息
敏感信息的不安全传输:HTTP 无法规范通过它传输的数据的实际内容
对 URL 中的敏感信息进行编码:链接的来源可能是私人信息,也可能是私人信息的来源被无意泄露。
与 Accept 标头相关的隐私问题:另一种类型的数据,可用于与其他数据源进行三角测量以识别最终用户。这种隐私损失在主机端是安全的,但最终用户的信息也由网站管理员决定。
基于文件名和路径名的攻击:在不安全的系统中,不良行为者可以获得他们可以访问的内容的 URL,例如“site.com/resource/profile/jon profile.docx”,并在分类法中导航以访问 /profile/技术上不应该的目录。
DNS 欺骗:HTTP 严重依赖域名服务,这些服务将域名(例如 brightedge.com)与底层 IP 地址相关联。不良行为者会故意将 IP 地址 DNS 对与“欺骗”的 DNS 相关联,从而将用户导航到与他们预期完全不同的站点。
位置标头和欺骗:与 DNS 欺骗问题类似,托管多个彼此不关联的组织的主机必须检查 Location 标头和 Content-Location 标头的值,以确保这些组织不会试图侵犯他们没有的资源不拥有。
身份验证凭据和空闲 Web 客户端:HTTP 无法让客户端丢弃缓存的身份验证凭据
HTTP 代理和缓存(“中间人”攻击)
对代理的拒绝服务攻击 (Ddos)
如何解决 HTTP 安全风险?
采用 HTTPS 是解决安全风险的最有效和最简单的方法。您只需要购买一个HTTPS证书(SSL证书),部署在您的主机上,客户端通过浏览器访问即可通过HTTPS访问。此时,客户端与主机上的数据进行交互。都是密文,SSL证书的域名会根据你浏览器的域名进行匹配。浏览器会自动组织DNS攻击,让你轻松防范HTTP安全隐患。
本文由本站刊发,转载请注明:什么是HTTP安全风险?应该如何解决HTTP存在的安全风险?,https://本站.com/69002.html
推荐站内搜索:云主机、阿里云服务器、虚拟主机评测网、windows虚拟主机、vps动态ip、免备案虚拟主机、网站空间租用、美国主机推荐、网站备案流程、php主机、
