HTTP安全性

通过前面的学习我们知道了 HTTP 协议是用于网络通信的，因此不论是程序开发人员还是使用程序的用户，对信息的安全都应该特别注意。面对各种各样的风险，就需要有针对的方法来应对，本节就为大家介绍一些常见的安全风险以及应对技巧。

个人信息泄露

通常我们都需要在浏览器中输入一些个人信息，例如：用户名、邮箱、密码、手*号等等，因此用户在输入或者提交个人信息的时侯应该特别小心，防止将个人信息通过 HTTP 协议意外泄露。

下面列举了一些简单实用的保护个人信息的方法：

• 所有机密信息（例如密码）都应该经过加密后再存储到服务器端；

• 注意隐藏服务器软件的版本、目录结构等信息，防止有人利用已知的安全漏洞攻击服务器；

• 为服务器安装防火墙，提升服务器抵御攻击的能力；

• 出于安全考虑，有时站点需要用户登陆后才可以浏览站点的内容，为了减少信息泄露的风险，可以在本地（Cookie）保存用户的登陆信息，减少用户的登陆次数；

• 不要使用 GET 请求来提交敏感的表单数据，因为 GET 请求会将表单数据展示在 URL 中，非常不安全。

基于文件和路径名的攻击

对服务器上的资源要设置好浏览权限，禁止敏感路径的访问，例如服务器的配置文件、各种日志文件等。确保用户只能通过我们提供的路径来浏览站点的内容，拒绝响应不合理的请求。

在 Windows、UNIX 或者其它的一些操作系统中可以使用“..”做为上一级目录的访问路径，如果服务器搭建在此类系统上，就要禁止在请求中添加“..”来获取服务器资源。

DNS欺骗

DNS（域名服务）欺骗就是攻击者冒充域名服务器的一种欺骗行为。 其原理就是，如果攻击者可以冒充域名服务器，然后攻击者可以把查询的 IP 地址设为攻击者提供的 IP 地址，这样的话，用户上网就只能看到攻击者的主页，而不是用户想要浏览的网站主页了。DNS 欺骗其实并不是真的“黑掉”了对方的网站，而是冒名顶替。

由于 HTTP 客户端严重依赖 DNS，所以特别容易受到此类攻击。如果客户端为了提升性能而使用了缓存技术的话，那么客户端必须观察 DNS 报告的 TTL 信息，当访问的服务器 IP 发生改变时就需要特别注意了。

本地保存的密码

现在的很多浏览器都可以在本地永久保存用户的身份信息（账号和密码），而且不论是客户端还是服务器都不会提醒用户来删除这些信息，这就造成了很大的安全风险。面对此类问题其实有很多解决方法，比如在我们不使用电脑的时候将其锁定，需要输入密码才能解锁；或者设置屏幕保护程序并设置在恢复时需要重新登陆等等。