大家好,欢迎来到IT知识分享网。
众所周知,我们正处在一个存在着各种诈骗、劫持的网络年代,我们的各种帐号密码或用户信息很多时候都能很容易地被黑客窃取。
由此很多网站使用HTTPS来保护用户的信息不被窃取。
而HTTPS本身所使用的SSL协议也并不是完美无缺,即使能确保本机安全,也还存在着各种SSL劫持了,令人防不胜防。
曾经发生过并被大众知晓的SSL劫持有:Comodo CA被黑客入侵用于伪造SSL证书、DigiNotar CA被黑客入侵用于伪造SSL证书、
法国政府伪造CA证书用于劫持Gmail等。当然,还有广为流传的CNNIC,虽然并没有被发现进行过SSL劫持,不过鉴于其之前的所作所为,
很多人还是很担心某天会针对自己进行劫持,而针对单人的劫持比较难以发现。
所以很多人为了安全起见,将CNNIC的SSL证书标记为不信任,但由此带来了一些问题,比如中国区的战网使用了CNNIC颁发的证书导致无法连接,
中国区的Windows Azure也使用了CNNIC颁发的证书导致无法连接等问题。而除了CNNIC,很多人还担心很多中级CA机构会以更隐蔽的方式进行劫持。
因此我们有必要建立应用级安全系统。
1.Web段建立黑盒子JS系统,在盒子内的请求有效,在盒子外不能请求。
2.为保护请求数据的安全,在发送请求前加密数据
3.为防止请求窃取或重复提交,必须为每个请求分配钥匙
4.返回数据必须要加密,防止浏览器数据被别人窃取
BOWF框架就做到了四点。
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/34586.html
