Web系统中机密数据的保护措施

通常用户使用的Web浏览器并不是与服务器直接相连的，当浏览器和服务器通信时，数据会经过若干中间节点（例如路由器、代理服务器），在这个传输过程中，会面临中间节点读取数据包的风险。除此之外，对于一些机密数据，要控制用户不能直接通过浏览器查看到明文数据，用户应当仅能通过页面查看数据。对于这些机密数据的保护问题，值得我们去思考一下该如何进行保护？对于这一问题，从下面几个维度进行相关说明：

1. 使用HTTPS加密数据






如果要保护浏览器和服务器之间的通信数据，最简便、快捷的措施就是采用HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer）对数据进行加密，它是以安全为目标的HTTP通道，即HTTP下加入SSL层，使用公有-私有密钥对传输的数据进行双向加密。这样即使中间节点读取了数据包，但是因为内容加密了，攻击者很难获取到原始数据。

2. 使用Javascript加密数据





将明文传输的数据进行一定算法的加密处理，如MD5算法，从而使数据传输进一步得到保护，能够很有效的避免数据被破译和用户通过浏览器工具直接查看的问题。


3. 过滤HTTP请求


对于一些恶意的用户，会发起一些攻击性的HTTP请求，进行试探性的获取机密数据，服务器端需要对此类异常的HTTP请求进行过滤，从而有效的保护机密数据的安全性。