出處 , 也有簡體版 (https://developer.mozilla.org/en-US/docs/Learn/Server-side/First_steps/Website_security)
前面段落提到大部分的安全漏洞 , 在 web app 信任來自 browser 的資料的狀況下都會成功 。
無論如何 , 增強網站安全需要在 browser 顯示資料 、 使用 SQL 查詢 、 傳遞檔案到執行系統之前過濾所有 user-originating 資料
Important: Never trust data from the browser 別相信任何來自 browser 的資料是這個章節最重要的事 ,
包含但不限於 GET
req URL parameters, POST
req, HTTP headers&cookies, user 上傳的檔案。
經常檢查及消毒所有接收的檔案 , 假設最差狀況
有幾個步驟可以參考:
POST
req data 及 header 資訊 , 它們都較難被壞蛋取得框架可減少很多常見漏洞
本篇解釋網頁安全觀念 , 以及很多常見威脅及漏洞 , 讓我們有方向去試著保護網站 ,
最重要的是要了解不要相信任何資料( 來自 browser的資料 ) , user 發送的所有資料都需要被消毒 。
我們已經到了這個系列 ( Server-side website programming first steps ) 的尾聲 ,
我們期許你能夠享受學習這些基礎觀念 , 並且你已準備好選擇框架及開始寫 code
這些基礎知識量好多呀 , 足足佔了半個月的天數 ,
以前寫 http 行為時只會照著教學影片或教學文照做 , 並自行腦補圓其說 。
學完這些基礎觀念後確實有較理解那些語法為何需要那些參數 , 期待後續這些前置作業為我帶來的幫助