什么是HTTP安全风险？应该如何解决HTTP存在的安全风险？

HTTP 安全风险是什么意思？万维网联盟（由 Jeffrey Jaffe 和万维网发明者 Tim Berners Lee 运营的国际网络社区）在 1999 年的一份备忘录中记录了与 HTTP/1.1 相关的许多不同的安全考虑和潜在的攻击向量：

什么是 HTTP 安全风险

个人信息披露：理想情况下，网站应该提供一个界面，允许用户控制他们在网站上输入的个人信息的披露程度，但情况并非总是如此，最终用户依赖网站管理员获取设计灵感。

滥用服务器日志信息：Web 服务器记录网站访问者的导航行为。此信息可用于收集有关最终用户的私人信息

敏感信息的不安全传输：HTTP 无法规范通过它传输的数据的实际内容

对 URL 中的敏感信息进行编码：链接的来源可能是私人信息，也可能是私人信息的来源被无意泄露。

与 Accept 标头相关的隐私问题：另一种类型的数据，可用于与其他数据源进行三角测量以识别最终用户。这种隐私损失在服务器端是安全的，但最终用户的信息也由网站管理员决定。

基于文件名和路径名的攻击：在不安全的系统中，不良行为者可以获得他们可以访问的内容的 URL，例如“site.com/resource/profile/jon profile.docx”，并在分类法中导航以访问 /profile/技术上不应该的目录。

DNS 欺骗：HTTP 严重依赖域名服务，这些服务将域名（例如 brightedge.com）与底层 IP 地址相关联。不良行为者会故意将 IP 地址 DNS 对与“欺骗”的 DNS 相关联，从而将用户导航到与他们预期完全不同的站点。

位置标头和欺骗：与 DNS 欺骗问题类似，托管多个彼此不关联的组织的服务器必须检查 Location 标头和 Content-Location 标头的值，以确保这些组织不会试图侵犯他们没有的资源不拥有。

身份验证凭据和空闲 Web 客户端：HTTP 无法让客户端丢弃缓存的身份验证凭据

HTTP 代理和缓存（“中间人”攻击）

对代理的拒绝服务攻击 (Ddos)

如何解决 HTTP 安全风险？

采用 HTTPS 是解决安全风险的最有效和最简单的方法。您只需要购买一个HTTPS证书（SSL证书），部署在您的服务器上，客户端通过浏览器访问即可通过HTTPS访问。此时，客户端与服务器上的数据进行交互。都是密文，SSL证书的域名会根据你浏览器的域名进行匹配。浏览器会自动组织DNS攻击，让你轻松防范HTTP安全隐患。

这几篇文章你可能也喜欢：

• 暂无相关推荐文章

本文由主机参考刊发，转载请注明：什么是HTTP安全风险？应该如何解决HTTP存在的安全风险？ https://zhujicankao.com/69002.html