網站seo優化

越權防範。越權的(de)威脅在(zài)于(yú)一(yī / yì ／yí)個(gè)賬戶即可控制全站用戶數據，當然這(zhè)些數據僅限于(yú)存在(zài)漏洞功能對應的(de)數據。越權漏洞的(de)成因主要(yào / yāo)是(shì)因爲(wéi / wèi)開發人(rén)員在(zài)對數據進行增、删、改、查詢時(shí)對客戶端請求的(de)數據過分相信而(ér)遺漏了(le／liǎo)權限的(de)判定。針對越權漏洞産生的(de)原因制定出(chū)響應的(de)防範措施。

(1）通過采用類似spring security等成熟的(de)權限管理框架，規範系統的(de)用戶權限。

(2）可以(yǐ)從用戶的(de)加密認證cookie中獲取當前用戶id，防止攻擊者對其修改。或在(zài)session、cookie中加入不(bù)可預測的(de)user信息。

(3）每次頁面訪問時(shí)對用戶權限進行驗證，采用表單或其他(tā)參數提交用戶進行訪問操作的(de)憑證時(shí)，應盡可能采用難以(yǐ)猜測的(de)構造方式（增加字母及随機數字等）或采用複雜的(de)加密算法加密後提交，在(zài)客戶端和(hé / huò)服務器端對提交的(de)憑證或會話的(de)權限進行驗證。

(4）對管理功能模塊進行嚴格的(de)權限驗證，如非必要(yào / yāo)建議不(bù)對互聯網開放或進行網絡層的(de)訪問控制。