安全威胁概述

OWASP Top 10 列出了最常见的 Web 安全风险,包括注入攻击、身份验证失效、敏感数据泄露等。了解这些威胁是构建安全系统的第一步。

一、SQL 注入防护

使用参数化查询(Prepared Statements)代替字符串拼接;ORM 框架自动处理转义;最小权限原则,数据库账户仅授予必要权限;定期审计 SQL 语句。

二、XSS 跨站脚本

输出编码:对特殊字符进行 HTML 实体编码;Content-Security-Policy(CSP)限制脚本来源;HttpOnly Cookie 防止 JavaScript 访问;输入验证和过滤。

三、CSRF 跨站请求伪造

使用 CSRF Token 验证请求来源;SameSite Cookie 属性限制跨站发送;验证 Referer 头;重要操作要求二次确认。

四、身份认证与授权

密码加盐哈希存储(bcrypt、argon2);多因素认证(MFA);JWT Token 短期有效配合 Refresh Token;RBAC 基于角色的访问控制。

五、HTTPS 与安全头

全站 HTTPS 加密传输;HSTS 强制 HTTPS;X-Frame-Options 防止点击劫持;X-Content-Type-Options 禁止 MIME 嗅探。