web安全：客户端安全和服务器安全；还有容器配置安全等；

客户端请点击：

web安全-客户端脚本安全

• nginx安全加固
• 代码控制资源权限以及参数过滤

nginx安全加固

• 限制ip访问

location / {
		deny  XXX . XXX . XXX . XXX;#拒绝ip
    allow XXX . XXX . XXX . XXX;#允许ip
    allow XXX . XXX . XXX . XXX;#允许ip
    deny all ；#拒绝其他所有ip
}

• 控制超时时间

client_body_timeout 10;#设置客户端请求主体读取超时时间
client_header_timeout 10;#设置客户端请求头超时时间
keepalive_timeout 5 5;#第一个参数，保持活动超时时间。第二个：消息头保持活动有效时间（可选）
send_timeout 10;#指定响应客户端的超时时间

• 防止点击劫持

nginx处理前端请求的location域增加
add_header  X-Frame-Options  SAMEORIGIN;#同源策略；iframe嵌套时浏览器是否允许加载资源

• 限制host和refer

server域增加：限制host请求
if（$host  ! ~* "XXX . XXX . XXX . XXX  | XXX . XXX . XXX . XXX"）{
       return  404;
}

限制refer
set $flagRf 0;
if( $http_referer  ! ~ * "XXX . XXX . XXX . XXX"){
    set  $flagRf 1;
}
if( $http_uri  ! ~ * "XXX . XXX . XXX . XXX"){
    set  $flagRf 2;
}
if( $flagRf ="1"){
   return 404;
}

• 防止nginx版本泄露

server增加
server_tokens   off;

• 删除不安全部分

location 增加
add_header "X-XSS-Protection" "1";

• 限制登陆url

set  $flag=0;
if($request_uri  !~ * "login.html"){
			return 404;
}

• https降级

proxy_set_header  Rederer  http:// $host : $server_port $request_uri

代码控制资源以及参数

• cookie 只读

Cookie [] cookies = request.getCookies();
if(cookie != null){
		for(Cookie cookie :cookies){
    	StringBuilder builder =new  StringBuilder();
      builder.append(coookie.getName() + "=" cookie.getValue() +";");
      builder.append("Secure : ");
      builder.append("HttpOnly;");//只读属性
      req.addHeader("Set-Cookie",builder.toString());
    }
}

• csp内容安全策略

• 过滤uri和cookie中的特殊字符

• 校验host是否在白名单

checkHost(request.getHeader("Host"));

• 校验refer是否同源

checkRefer(request.getHeader("Refer"))

• 参数xss过滤

• 设置404统一页面

避免提示信息泄露
避免跳转到无效资源
避免重定向，302，

• session标志未更新

登陆成功后，session失效并重新new一个session，更换session标志；

• sql注入

sql预编译
sql条件和参数隔离，校验后，再拼sql等
避免程序日志出现数据库特殊错误码，导致泄露sql是oracle还是其实数据库
避免出现--注释，以及or ‘1==1’等条件注释，条件恒成立等，失效sql语句
参数关键字过滤，避免生成联合sql，关联查询语句

• 验证码一次失效；

验证码一次失效，否则可能引发登陆时，利用已经验证的验证码，多次重放攻击，撞库攻击等

• 通讯加密

参数加密，响应数据加密：
1.用户名密码，敏感信息
2.响应中比如出现path，可能会造成泄露