web安全方面的知识_保护好网站

HTTPS是现代Web安全重要核心的基础协议之一，是保证Web数据传输安全，防止信息泄露，防止内容篡改和劫持的唯一有效的方法。

HTTPS的安全性

尽管HTTPS并非绝对安全，但HTTPS仍是现行架构下安全的解决方案。这里强调绝对安全是因为很多人认为他们使用HTTPS就是安全了，然而，WEB安全涉及很多方面，其他方面没做好，HTTPS不仅不能的安全，还给你带了性能的累赘。不过不能否定它的安全性，下面介绍一下安全性的体现。

真实性，防假冒

在讲web安全是时候，真实性经常被忽略。其实真实性是安全中重要的一个方面，怎么保证你访问网站是真的，怎么保证搜索出的信息是可靠，而不是“莆田系”骗钱要命的医院呢？比如在今日头条中，那些发帖子说，关注并转发，抽“發”卡的怎么确定他是真的呢？其实很简单一个方法就是看这个账号的认证，官方认证都是加V表明是官方账号的，这就是一个保证，没有加V官方认证，肯定都是骗子，直接举报就是了，不要相信。

完整性

信息完整性，不被篡改。未使用HTTPS加密时候，由于 HTTP 是明文的，不但容易被嗅探，还容易被篡改。各个站长和大公司的网站运维肯定都体会过被小的网络运营商（ISP）流氓劫持的事件，给你页面添加广告，加小图片什么的，因为HTTP 是明文的，所以运营商可以随意修改这些内容，在其中植入广告等内容。

密性

对于HTTP明文的内容可以用网络抓包软件，“嗅探”信息。在笔者的近期文章中，有一篇通过抓包分析服务器流量，分析其中的sql语句，来达到数据库安全审计的目的。同样的道理，通过抓取网络包中HTTP信息，可以获得你正在访问什么网站，访问了哪些页面，所访问页面的内容，甚至你输入的用户名密码什么的都可以得到。