1、使用https:這是壹種加密的網絡傳輸協議,可防止數據在傳輸過程中被竊取或篡改,所有敏感數據的傳輸都使用https。
2、使用token身份驗證:在用戶成功登錄後,服務器會返回壹個token給客戶端,客戶端在之後的請求中需要攜帶這個token來進行身份驗證,這種方法不需要每次都傳用戶名和密碼,提高了交互效率。
3、避免在cookie存儲敏感信息:雖然cookie用於存儲會話信息,但不在其中存儲敏感信息,例如密碼或token,因為cookie可以被輕松訪問和修改,必須存儲敏感信息,使用httponly的cookie,以減少被攻擊的風險。
4、使用安全的編程實踐:例如,避免sql註入、跨站腳本等攻擊,後端開發人員遵循最佳的安全實踐,包括數據驗證、訪問控制、加密等。
5、使用安全頭:這些是http頭的壹部分,可以告訴瀏覽器和中間件如何處理請求和響應,例如,csp可以防止xss攻擊,hsts可以防止中間人攻擊,輕松做到前端不登陸進行和後端的安全交互。