Web安全

网站包含几种不同类型的信息。其中一些是非敏感的，例如公共页面上显示的副本。其中一些是敏感的，例如客户用户名、密码和银行信息，或者内部算法和私人产品信息。

敏感信息需要得到保护，这是网络安全的重点。如果这些信息落入坏人之手，可能会被用来：

• 通过与竞争对手共享信息，使公司处于竞争劣势。
• 禁用或劫持他们的服务，再次导致他们的操作出现严重问题。
• 将客户的隐私置于危险之中，使他们容易受到分析、定位、数据丢失、身份盗窃甚至经济损失的影响。

现代浏览器已经有几个功能来保护用户在网络上的安全，但开发人员也需要谨慎地采用最佳实践和代码，以确保他们的网站是安全的。即使是代码中的简单错误也会导致漏洞，坏人可以利用这些漏洞窃取数据并控制他们没有授权的服务。

本文介绍了网络安全，包括有助于您了解网站易受攻击的方面以及如何保护网站的信息。

安全与隐私的关系

安全和隐私是不同的主题，但它们也密切相关。了解两者之间的区别以及它们之间的关系是值得的。

介绍

Passkeys是一种更安全、更容易替代密码的方法。使用密钥，用户可以使用生物识别传感器（如指纹或面部识别）、PIN或模式登录应用程序和网站，从而无需记住和管理密码。

开发人员和用户都讨厌密码：它们给用户带来了糟糕的用户体验，增加了转换摩擦，并给用户和开发人员带来了安全责任。安卓和Chrome中的谷歌密码管理器通过自动填充减少了摩擦；对于寻求在转换和安全性方面进一步改进的开发人员来说，密钥和身份联合是该行业的现代方法。

密钥可以在一个步骤中满足多因素身份验证要求，取代密码和OTP（例如6位短信代码），以提供强大的保护，防止网络钓鱼攻击，并避免短信或基于应用程序的一次性密码带来的用户体验痛苦。由于密钥是标准化的，因此单个实现可以实现跨所有用户设备、跨不同浏览器和操作系统的无密码体验。

密钥更容易：

你为什么要关心隔离你的网络资源？

许多web应用程序容易受到跨来源攻击，如跨站点请求伪造（CSRF）、跨站点脚本包含（XSSI）、定时攻击、跨来源信息泄露或推测执行侧通道（Spectre）攻击。

Fetch Metadata请求头允许您部署一种强大的深度防御机制——资源隔离策略——以保护您的应用程序免受这些常见的跨源攻击。

由给定的web应用程序公开的资源通常只由应用程序本身加载，而不由其他网站加载。在这种情况下，部署基于Fetch Metadata请求头的资源隔离策略几乎不需要付出什么努力，同时可以保护应用程序免受跨站点攻击。

浏览器兼容性

所有现代浏览器引擎都支持获取元数据请求标头。

浏览器支持

什么是第三方？

一个网站是完全独立的，这是相当罕见的。HTTP网络年鉴显示，大多数网站（约95%）都包含一些第三方内容。

Almanac 将第三方内容定义为托管在共享和公共来源上的内容，该内容被各种网站广泛使用，不受单个网站所有者的影响。这些可能是图像或其他媒体，如视频、字体或脚本。图像和脚本所占的比其他所有内容加在一起还要多。第三方内容对开发网站来说并不重要，但也可以；几乎可以肯定的是，您将使用从公共共享服务器加载的东西，无论是网络字体、视频的嵌入式iframe、广告还是JavaScript库。例如，您可能正在使用Google fonts提供的网络字体，或者使用Google analytics测量分析；您可能添加了来自社交网络的“点赞”按钮或“登录方式”按钮；您可能正在嵌入地图或视频，或通过第三方服务处理购物；您可能正在通过第三方监控工具为自己的开发团队跟踪错误并进行日志记录。

不用说，大多数网站都存在各种类型的错误，最终可能导致漏洞。 为什么会经常发生这种情况？ 可能涉及许多因素，包括配置错误、工程师安全技能不足等。为了解决这个问题，这里有一个精选的网络安全材料和资源列表，用于学习尖端渗透技术，我强烈建议您阅读这篇文章“ 所以你想成为一名网络安全研究员？” 第一的。