// 前端常见攻击模式!!very importent!
// 1.密码保护node.js 的 Crypto(密码)模块,
//包含且不限制于OpenSSL 的哈希、HMAC、加密、解密、签名和验证函数
// 2 TLS/SSL ssl( 安全套接层) TLS( 传输层安全协议 )
//3,HTTPS 第三方认证(你是你,而不是其他);
//4,XSS 跨站脚本 (Cross-Site Scripting, XSS) 是一种代码注入方式;代码注入
// 包括且不限于javascript 伪装
// 5,网页安全政策"(Content Security Policy,缩写 CSP)
//CSP 的实质就是白名单制度,开发者明确告诉客户端,
//哪些外部资源可以加载和执行,等同于提供白名单。
//它的实现和执行全部由浏览器完成,开发者只需提供配置。
//两种方法可以启用 CSP。一种是通过 HTTP 头信息的Content-Security-Policy的字段。
//另一种是通过网页的<meta>标签
//<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">
// 脚本:只信任当前域名
// <object>标签:不信任任何URL,即不加载任何资源
// 样式表:只信任cdn.example.org和third-party.org
// 框架(frame):必须使用HTTPS协议加载
// 其他资源:没有限制
//6,DDOS
//将多个计算机(肉鸡或僵尸机)联合起来作为攻击平台,对一个或者多个目标服务器,
// 保证服务器系统的安全,确保服务器软件没有任何漏洞,防止攻击者入侵。
// 确保服务器采用最新系统,并打上安全补丁。
// 在服务器上删除未使用的服务,关闭未使用的端口。
// 对于服务器上运行的网站,确保其打了最新的补丁,没有安全漏洞。
// 隐藏服务器的真实IP地址
// 关于md5 用户将账号密码通过。md5(xxxx),传输给服务器;
// 后台服务器也存存者这段乱码,进行比对,相同则允许登陆;
// 防止黑客,攻击服务器获取用户的明文密码(密码禁止明文存储);