Javascript SSL是否足以保证网站的安全？

我一直在考虑为一家公司编程一个网站（除了表单之外没有其他数据或信息）我一直在考虑将BlueHost作为主机和SSL安全功能作为安全保护，我自己不知道还有其他安全保护或加密功能，No.SSL只保护传输中的数据不受第三方的拦截吗？对于SSL的实现，需要考虑很多因素来决定它是否甚至令人满意。p> <> P>有很多无数的安全方面，你必须考虑如何确保数据在别人通过SSL在浏览器和服务器之间传输时不会被别人读取。答案太多，无法详细说明。从长远来看，当我部署一个包含任何敏感数据的系统时（我在一家支付处理公司工作，但“敏感”不仅仅包括信用卡号码），我必须回答大约800个关于安全审计的问题。这些问题中只有大约30个与SSL和确保SSL正确实现有关。然后，一个专家小组必须审查这样一个系统的实施情况，进行审议，并一致投票认为它符合要求。即使在所有这些之后，常规安全审计也会发现被忽略的潜在漏洞，必须加以缓解

---

No.SSL本身并不足以考虑一个系统“安全”。如果它有需要SSL的数据，那么几乎可以肯定它需要的不仅仅是SSL。

首先，您应该有SSL。尽管如此，不，这还不够

那么，你需要什么？虽然确实有很多内容需要涵盖，但你显然需要指出正确的方向

就托管提供商而言，您可能会对其他功能感兴趣：

• 备份（不过，您可能可以自己滚动解决方案）
• 反恶意软件（不过，如果您的站点不允许上载文件，则不太相关）
• DDoS缓解措施

我想提醒您，信息安全不仅是保密性，也是可用性和完整性（以及可追溯性）

---

请在本地服务器上设置测试环境，确保其正常工作。在它们进入生产环境之前，您可以对其进行安全审计。记住，越早发现bug，修复它们的成本就越低。。。因此，您不希望在生产中发现它们

是的，在测试环境中没有HTTPS是可以的。除此之外，还有很多事情要做。是的，你也应该检查生产中的安全性

理想情况下，将有一个团队进行测试，在这些测试中，他们可能会寻找潜在的漏洞。还有一些安全扫描仪可以帮助解决这个问题

但是，首先应该编写安全代码。对吧?

---

我必须告诉你，服务器端比标记的HTML和jQuery更相关。黄金法则是不信任客户。请记住，请求可能不是来自实际的浏览器（不管用户代理可能会说什么）。您必须在服务器上执行验证。尽管在客户端进行验证也是一个好主意（为了更好的用户体验和安全的网络容量），但客户端验证对于安全性来说是非常重要的

这并不是说没有什么东西可以提高客户端的安全性。例如，打印客户端有助于检测客户端何时来自给定用户的异常源，并发出红旗（服务器端可能存在部分指纹）。此外，您还可以对屏幕记录器/键盘记录器/肩部冲浪进行缓解

还有一些非常特殊的情况，在客户机上进行加密是有意义的。这不是通常的情况。你可能不需要这样做。在这种奇怪的情况下，请聘请一位专家

---

无论如何，这些都是开发人员经常忽略的事情（这绝不是一个完整的列表）：

• 不要信任客户
• 验证所有输入
• 清理所有输出（考虑到它将要去哪里）
• 在数据库访问中使用准备好的语句
• 指定字符集（用于HTML、服务器端字符串操作以及数据库存储和连接）
• 进行适当的身份验证和访问控制
• 正确存储凭据
• 使用浏览器安全功能保持最新
• 正确使用跨源资源共享
• 尽可能使用HttPOnly cookies
• 正确使用服务工作者和Web缓存
• 记录错误，而不是向客户端显示错误
• 具有所有修改的可追溯性

也考虑双因素认证。

您可能还对和感兴趣。注意：这些不是安全检查列表，也不是安全审计的替代品。它们也不是福音，然而，如果你不想跟随它们，就不要因为你不知道就让它成为福音吧

最后，让我向您指出，这是一个致力于信息安全（因此得名）的问答网站

---

---

附录：如果您不是在开发web应用程序，而是在设置内容管理系统，那么您必须使其保持最新。另外，无论您使用什么，都要研究并应用安全强化。

SSL并不能保证您的站点安全。它只是让您的用户和您自己之间传输的信息保持安全。如果您认为安全性和安全性只是检查一些复选框的问题，那么您的方法存在严重缺陷，您应该在您的项目中获得一些帮助。我想借此机会向您指出。顺便说一句：SSL不再存在，它在1999年成为TLS（好的，您仍然可以实现旧版本，但这没有任何意义）