电子商务网站互联网安全防御攻略

电子商务网站，互联网的安全防御相当重要，尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识，供大家参考一下，也希望可以和关心这一块的同行一起讨论一下这方面的话题。

1. 信息传输加密

https 使用对称加密还是非对称加密？

对称加密使用 DES 还是 AES？

非对称加密使用 RSA 还是 DSA？

• 使用什么加密算法，在购买证书的时候就要确定。一般是用 RSA 2048 位。

SSL 证书需要不需要购买？

• 不需要购买的理由 - 我们使用HTTPS的目的就是希望服务器与客户端之间传输内容是加密的，防止中间监听泄漏信息，去证书服务商那里申请证书不划算，因为使用服务的都是固定客户和自己内部人士，所以我们自己给自己颁发证书，忽略掉浏览器的不信任警报即可。一般内部使用的都是自己给自己颁发证书。而开放给客户的网站则一般都是购买了证书的，但也不排除一些网站出于成本的考虑而没有购买，比如 12306 铁路购票网站，会过日子啊。
• 需要购买的理由 - 用户体验好、专业性强。

双向验证还是单向验证？

• 单向验证验证的是服务器；双向验证服务器客户端互相验证。
• 对于服务器来讲，单向验证能够保证传输的数据加密过了；双向验证不仅保证传输数据加密，还能够保证客户端来源的安全性。
• 如果使用双向验证的话，需要客户端浏览器导入证书。
• 出于客户体验的考虑，大部分 https 网站使用的都是单向验证(比如 CSDN 登录)，一些安全性要求高的使用的是双向验证(比如招行网上银行、支付宝)。

证书是和域名绑定的，服务开放之前，域名确定、购买，https 证书的购买需要先搞定。

2. 文件存储加密

非对称加密使用什么加密算法，RSA 还是 DSA？

非对称加解密的话，加解密比较慢，实现上使用 java 实现还是 c？

3. 防御 XSS 攻击

服务前台客户端，对用户输入进行 js 表单验证；

目前，我们服务前台的客户端的表单验证也要交互一下后台，增加了后台负载，而且还留下了 XSS 攻击隐患；

应该是接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交；

对于对其他的特别是 javascript 相关的特殊字符一律过滤；

对于某些 html 危险字符进行转义，比如 > 转义为 &gt，< 转义为 &lt；

对于存放敏感信息的 Cookie，对该 Cookie 添加 HttpOnly 属性，避免被攻击脚本窃取；

服务前台服务器端，