网页接口请求安全链路完整分析

从你输入网址,到服务器返回数据,每一步的安全机制依次生效,结合你之前掌握的 SSL、Cookie、Token、CSRF,完整串讲👇


0. 准备阶段:DNS 查询

  1. 浏览器查询域名对应IP

  2. 若使用 DoH/DoT(DNS over HTTPS/TLS)

  1. → DNS 请求也被SSL加密,防止DNS劫持

1. 建立连接:TLS/SSL 握手(通道安全)

  1. 浏览器发起HTTPS请求,协商加密套件

  2. 服务器返回SSL证书

  3. 浏览器验证证书可信(系统根证书)

  4. 浏览器生成会话密钥,用服务器公钥加密发送

  5. 服务器用私钥解密,双方持有相同密钥

作用:后续所有传输全加密,防窃听、篡改


2. 首次访问页面:下发身份凭证

  1. 服务器生成:

    1. SessionIDJWT Token

    2. CSRF Token

  2. 通过Set-Cookie响应头下发

    复制代码
    Set-Cookie: sessionid=abc123; HttpOnly; Secure; SameSite=Strict Set-Cookie: csrftoken=xyz789
  3. 浏览器自动保存Cookie

关键安全点

  • HttpOnly:禁止JS读取,防XSS窃取Cookie

  • Secure:仅HTTPS传输

  • SameSite:缓解CSRF攻击


3. 浏览器渲染页面:XSS防护

  1. 服务器对用户输入内容转义过滤

  2. 返回CSP头部,限制资源加载

Content-Security-Policy: default-src 'self'

作用:防止恶意脚本注入,窃取Token/Cookie


4. 发起提交请求(如登录、发消息)

请求携带内容

  1. Cookie :浏览器自动带上sessionid+csrftoken

  2. CSRF Token:从表单隐藏域/请求头携带

  3. 请求参数:账号、密码等

额外安全校验

  • 时间戳timestamp:防止请求过期

  • 随机串nonce:防重放攻击

  • 参数签名sign:防参数篡改


5. 浏览器发起跨域请求:CORS校验

  1. 浏览器先发送OPTIONS预检请求

  2. 服务器返回跨域头:

    复制代码
    Access-Control-Allow-Origin: https://www.doubao.com Access-Control-Allow-Credentials: true
  3. 校验通过才发送真实请求

作用:禁止非法域名调用接口


6. 服务器接收请求:多层校验

  1. SSL解密:获取明文请求

  2. Cookie/Token校验:确认用户身份

  3. CSRF Token匹配:防跨站伪造请求

  4. 重放校验:timestamp有效期、nonce未使用过

  5. 签名校验:参数未被篡改

  6. 权限校验RBAC:判断是否有权限操作

  7. 限流校验:单位时间请求次数是否超标


7. 数据处理与存储

  1. 密码不存明文,使用bcrypt/Argon2哈希加密

  2. 敏感数据(手机号、身份证)AES加密存储

  3. 记录操作日志


8. 服务器返回响应

  1. 数据用会话密钥加密后传输

  2. 浏览器解密,渲染页面

  3. F12展示的就是解密后的明文内容


完整安全模型口诀(可直接记忆)

SSL加密通道,

Cookie存身份,Token验身份,

CSRF防伪造,

XSS防窃取,CSP护页面,

CORS控跨域,签名防篡改,

时间戳防重放,限流防攻击,

RBAC控权限,哈希存密码。


相关推荐
Fnetlink15 小时前
Fnet 云网安 260717
网络·安全·网络安全
杨运交6 小时前
[049][Crypto模块]前后端混合加密API实战:基于Spring Boot的AES+RSA安全传输方案
spring boot·后端·安全
其实防守也摸鱼7 小时前
运维--ip单日获取去重数据量超过500条
运维·学习·tcp/ip·安全·web安全·安全威胁分析·工具
txg6668 小时前
Agent 攻击 Agent:自动检测 LLM Agent 中的污点式漏洞
人工智能·深度学习·安全·网络安全
解局易否结局10 小时前
鸿蒙人脸检测与活体识别实战:基于 @ohos.visionKit 构建安全身份验证
安全·华为·harmonyos
csdn_aspnet21 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ChainSafeAI0031 天前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
世***y1 天前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站1 天前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
mounter6251 天前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel