服务器安全与优化

全栈安全

安全性：

1.服务可用性

DOS、DDOS -- 肉机
攻击 (发送网站请求，占用网站资源，挤占真实用户) [ 大公司方案买带宽，买主机 ]

洪水(SYNC Flood) --
三次握手，攻击者一直不进行第三次握手，服务器端会认为包丢失（反复发包至客户端），消耗资源，简称 半连接
[限时半连接总数，重试次数减少，重试次数拉近]

程序缺陷引起的：

1.系统缺陷：芯片（硬件）

2.程序缺陷：

           自增的ID，会被推断出前后的ID，是一种漏洞

           随机ID

           数据库注入攻击

            插入数据 'blue; DELETE * FROM 表名'，引起攻击

           没有校验位数，引起数据超出范围，影响后面数据

2.数据安全

中间人攻击 -- 代理 VPN -- 通信被转发（敏感信息被获取）

智能路由器 -- 家 - 路由 - 小区 - 中国移动 (都有入侵的隐患)

DNS污染 -- DNS解析对方IP，给的攻击者IP，跳转代理，将数据拿过来 -- [https 全程保密，解决]

人：社会工程学 -- 破解密码生日，测试账号-- [生产环境，开发环境分离]

权限级别设置 --

针对web开发人员

前端--安全性一般

后端--安全性建议

  1.上传文件（文件大小，不定时清理） -- 检查文件类型，限制文件大小
  2.数据校验 (正则)
  3.用户密码 (数字字母大小写强制使用，不能使用弱密码，二次密码输入)，U盾，类似游戏密保额外验证
  4.数据库数字ID，容易被推敲，收到攻击
  5.数据所属是否为当前用户

优化

1.速度
带宽？程序
2.省钱
降低运营维护成本
3.抗压
负载怎么抗住
4.回退
系统不正常，如何回退至可用稳定版本

方式方法：
1.降低服务器请求数 - 合并 (webpack 降低服务器请求)

2.请求连接，放在一个字符串内，将系列请求，放到后台处理

3.文件体积，越小越好

4.合理缓存

5.图片懒加载 (部分页面结构 异步请求)

6.一个请求大概32KB（包括请求头），请求数据的话，尽量装满

//--关于请求的各种报文信息
https://blog.csdn.net/qq1042921106/article/details/74176296

优化工具：

阿里云的 PTS