学习笔记8：《大型网站技术架构 核心原理与案例分析》之 固若金汤：网站的安全架构

一、网站攻击与防御

攻击：

1、XSS攻击：危险字符转义，HttpOnly

2、注入攻击：参数绑定

3、CSRF（跨站点请求伪造）：Token，验证码，Referer Check

4、其他漏洞攻击

• Error Code
• HTML 注释
• 文件上传
• 路径遍历

防御：

1、Web应用防火墙：ModSecurity

2、网站安全漏洞扫描

二、信息加密技术与密钥管理

1、单向散列加密

2、对称加密

3、非对称加密

4、密钥安全管理

三、信息过滤与反垃圾

1、文本匹配：正则，Trie算法，多级Hash，降噪预处理

2、分类算法：样本---》分类算法训练---》垃圾分类模型---》匹配待处理信息；贝叶斯算法

3、黑名单

4、电子商务风险控制

• 风险

   （1）账户风险

   （2）买家风险

   （3）卖家风险

   （4）交易风险

• 风控

   （1）规则引擎

   （2）统计模型