网站安全防御

一、防止XSS攻击

XSS（跨站脚本攻击）是一种常见的网络安全漏洞，攻击者通过在目标网站中注入恶意脚本，来获取用户的敏感信息或执行其他恶意操作。

输入验证与过滤

• 对用户输入进行严格验证：在客户端和服务器端都要对用户输入的数据进行验证，确保输入的数据符合预期的格式和范围。例如，对于电子邮件地址，使用正则表达式验证其格式是否正确。
• 过滤特殊字符：对用户输入中的特殊字符进行过滤或转义，防止其被解释为脚本代码。例如，将<转义为<，>转义为>，"转义为"等。

输出编码

• 对动态生成的内容进行编码：在将用户输入或其他动态数据输出到页面时，使用合适的编码方式，如 HTML 编码、JavaScript 编码等，确保数据在页面上被正确显示，而不会被浏览器解析为脚本。例如，使用textContent属性来设置元素的文本内容，而不是innerHTML，这样可以避免插入的内容被解析为 HTML 标签和脚本。

内容安全策略（CSP）

• 设置严格的 CSP 规则：通过设置content-security-policy响应头，告诉浏览器哪些资源可以加载，哪些脚本可以执行等。
  
  1.前端设置HTML meta标签来设置CSP，相对简单但灵活性差；当然也可以使用JavaScript根据某些条件来动态调整CSP，但是要注意代码安全性被恶意篡改；

  <head><meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; font-src 'self' https://fonts.gstatic.com;">
  </head>

  2.服务器端设置content-security-policy响应头来设置CSP，更为灵活和安全；

  const express = require('express');
  const app = express();app.use((req, res, next) => {res.setHeader('Content - Security - Policy', "default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' https://cdn.example.com; img-src *;");next();
  });app.listen(3000, () => {console.log('Server running on port 3000');
  });

• 报告违规行为：可以设置report-to指令，让浏览器将违反 CSP 规则的行为报告给指定的服务器，定期审查分析报告数据，识别潜在危险并逐步收紧策略。

二、防止CSRP攻击

CSRF（Cross - Site Request Forgery，跨站请求伪造）攻击是一种常见的网络安全漏洞，攻击者通过伪装成用户的合法请求，在用户不知情的情况下执行一些有害操作。

验证请求来源

• 使用 Origin 字段：对于跨域请求，检查Origin字段更为可靠，因为它只包含域名信息，不容易被篡改。服务器可以验证Origin字段是否在允许的列表中，以确定请求是否合法。

添加 CSRF 令牌

• 生成令牌：在用户登录或访问敏感页面时，服务器为用户生成一个唯一的 CSRF 令牌，并将其存储在用户的会话中。同时，将令牌通过页面表单或 JavaScript 变量传递给客户端。
• 提交令牌：当用户提交表单或进行其他敏感操作时，客户端将 CSRF 令牌作为参数一起发送到服务器。
• 验证令牌：服务器接收到请求后，从会话中获取用户的 CSRF 令牌，并与客户端提交的令牌进行比对。如果令牌匹配，说明请求是合法的；如果不匹配，则拒绝请求。

增加验证码

• 在关键操作中添加验证码：对于一些重要的操作，如修改密码、转账等，要求用户输入验证码。验证码可以有效防止自动化的 CSRF 攻击，因为攻击者很难获取到正确的验证码。
• 确保验证码的安全性：验证码应该具有一定的复杂性，并且在每次请求时动态生成。同时，要对验证码的有效期进行限制，防止验证码被重复使用。

强化用户认证

• 使用多因素认证：除了用户名和密码外，引入多因素认证，如短信验证码、硬件令牌、生物识别等。这样即使攻击者获取了用户的登录凭证，也无法轻易通过多因素认证环节，从而提高系统的安全性。
• 定期更新用户认证信息：鼓励用户定期更换密码，并在用户长时间未操作后，自动注销用户登录，要求用户重新进行认证。这样可以减少用户会话被劫持的风险，防止攻击者利用过期的会话进行 CSRF 攻击。