网站安全怎么防御,网站安全性措施

网站安全，对于网站相关开发人员来说是个老生常谈的问题，网站开发的历史，在国内大约有二十年了，所以各方面的资料都比较丰富。以下内容有部分从网络整理而来，部分是自己的体会。 

主要参考《白帽子讲web安全》

一，

开发者必须要有基本的网站安全开发常识，比如0day、sql-injection、XSS、CSRF、恶意上传（脚本语言的网站尤其要注意）等，这些资料网上有很多，可以自行搜索。安全相关的文档可以考虑标准化，以便传阅和逐渐完善。网络安全是一个体系建设，配备了基础的安全手段之后，就是慢慢去完善。 
一下列表一些最基本的应对方法：

对于用户的敏感信息需要加密保存（salt-hash），如密码、手机、银行卡信息等，以防被拖库之后拿去撞库，或者被公司内部人员不当利用。这个操作属于风险管理，可以合理止损。对于用户输入，必须先过滤后使用（参考），如果实在有富文本需求，在前端要做保护措施（例如使用vuejs等前段框架后期渲染，避免从服务端直接渲染出页面），防止被投放持久化XSS攻击。cookie端要启动httponly功能，就可以避免被js访问到。表单管理，表单尽量添加token，既可以防止重复提交，也可以防止CSRF攻击参考对于系统管理员等一些重要角色用户，尽可能绑定IP登录或IP白名单登录，这样可以避免漏洞被第三方捕捉到之后实施的恶意操作该混淆代码的还是要混淆的，该签名还是要签名的https https https