网站制作的在漂亮如何安全不到位一样白搭

计算机网络已经成为人们工作和生活中必不可少的工具，尤其近期受新冠肺炎疫情的影响，很多人居家远程办公，在网上购买生活必需品，人们已经离不开计算机网络。然而网络在带来方便的同时，也存在一定的安全隐患，例如用户个人信息可能会被黑客窃取，甚至可能发生计算机网络攻击事件。
1事件经过
笔者近年从事对一些单位门户网站网络安全漏洞的扫描工作。2019年12月，笔者发现某网站存在网络安全漏洞，及时向网站所属单位进行了通报，漏洞详细情况如下：漏洞名称为跨站脚本（XSS），漏洞数量1个，漏洞等级为高危。
漏洞描述
一种攻击者利用网站程序对用户输入过滤不足的缺陷，输入可以显示在页面上并对其他用户造成影响的HTML代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的攻击方式。
对该漏洞的验证过程如下
（1）构造跨站脚本攻击URL代码在网页地址栏输入图2所示的代码后，在网站相应页面出现弹框报警，显示出“23”字样。
（2）在页面上输入文字将漏洞情况通报网站所属单位，该单位进行了一些修复，过滤掉“alert弹窗”。
2漏洞危害
跨站脚本漏洞在每年的OWASP Top10（最新十大Web安全风险）中一直名列前茅，可被用于窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。
恶意攻击者可以利用跨站脚本漏洞在网站中插入任意代码，只要是脚本代码能够实现的功能，跨站脚本攻击都能够做到。
3防范措施
跨站脚本攻击按形式可分为三种，即反射性XSS攻击、存贮性XSS攻击以及基于DOM的XSS攻击。其过程简单来说，就是恶意攻击者在Web页面里插入恶意脚本代码，用户浏览该网页时，嵌入Web页面的脚本代码就会被执行，进而达到攻击目的。跨站脚本攻击相对于其他网络攻击而言更隐蔽。
做好防范，须做到以下几点：
（1）对传入参数进行有效性检测
（2）保护用户Cookie信息
（3）限制输入字符的长度
（4）检查用户提交信息中的链接
（5）对用户上传文件进行检索限制
（6）加强网站内部人员安全管理
网络安全问题并不遥远，就在我们身边，因此提升网站相关人员安全意识、工作责任心、安全防护技术能力尤为重要。此次网站跨站脚本漏洞，从发现到修复用了两周时间，并不困难。然而跨站脚本攻击相对其他攻击手段更加隐蔽和多变，与网站业务流程、功能代码实现都有关系，不存在一劳永逸的解决方案。防范跨站脚本攻击以及其他网站安全漏洞，往往要牺牲网站的便利性，如何在安全和便利之间寻求平衡也是网站建设的一大焦点议题。