安全問(wèn)題的討論中，我們已經(jīng)向大家介紹了訪(fǎng)問(wèn)控制的安全設(shè)計(jì)核心和信任關(guān)系的劃分問(wèn)題，本文將繼續(xù)向大家介紹。

數(shù)據(jù)與代碼分離的思想是安全設(shè)計(jì)的原則

最典型的體現(xiàn)數(shù)據(jù)與代碼分離思想的是模板系統(tǒng)。

比如velocity，在渲染html的時(shí)候，程序員可以寫(xiě)vm模板，一些靜態(tài)寫(xiě)死的內(nèi)容就是代碼，而通過(guò)變量，經(jīng)過(guò)渲染才最終展現(xiàn)的內(nèi)容則稱(chēng)之為數(shù)據(jù)。一個(gè)典型的例子如下：

-code--------------------------------------------
test
-------------------------------------------------

代碼與數(shù)據(jù)如果沒(méi)有分離，就會(huì)導(dǎo)致代碼混亂，數(shù)據(jù)變成代碼的一部分去執(zhí)行。比較常見(jiàn)的例子就是PHP里的SQL寫(xiě)法：

-code----------------------------------------------------
$sql = "SELECT * FROM article WHERE articleid='".$_GET[id]."'";  
---------------------------------------------------------  

如果參數(shù) id 中帶有單引號(hào)，就會(huì)閉合掉代碼中的單引號(hào)，從而導(dǎo)致數(shù)據(jù)變成代碼執(zhí)行。
所以這個(gè)注射的本質(zhì)問(wèn)題還是沒(méi)有做好數(shù)據(jù)與代碼的分離。

比較好的做法是如下java代碼中的使用變量綁定，很好的做到了代碼與數(shù)據(jù)分離

-code----------------------------------------------------  
 
String sql="Insert into table VALUES(?,?)";  
List values = new ArrayList();  
values.add(Integer.toString(id));  
values.add(operator);  
try{  
executeStatement(sql, values);  
result=true;  
}catch(Exception e){  
e.printStackTrace();  
}  
---------------------------------------------------------  
 

但是并不是說(shuō)使用了模板系統(tǒng)就一定分離了數(shù)據(jù)與代碼。

因?yàn)樵陬?lèi)似“render”或者是“transform”的過(guò)程中，往往存在一個(gè)將數(shù)據(jù)進(jìn)行規(guī)范化的過(guò)程。這個(gè)過(guò)程也可能出現(xiàn)問(wèn)題，從而導(dǎo)致代碼可以混淆數(shù)據(jù)進(jìn)行執(zhí)行。

比較好的做法是，數(shù)據(jù)中不能包含有在代碼中存在語(yǔ)義的字符。

參考如下例子：

-code----------------------------------------------------  
Set-Cookie: name=id\r\nP3P: xxxxxxxxxxxxxx\r\n  
--------------------------------------------------------- 

紅字部分是用戶(hù)的輸入。

在HTTP的標(biāo)準(zhǔn)中，冒號(hào)“：”，等號(hào)“=”，換行符CRLF“\r\n”，百分號(hào)“%”等字符都是有具體的語(yǔ)義的，屬于代碼部分。所以正常的用戶(hù)數(shù)據(jù)中不應(yīng)該包含有這些字符。

如果出于需求一定要包含怎么辦？按照標(biāo)準(zhǔn)將這些字符全部encode。

在HTTP標(biāo)準(zhǔn)中可以使用urlencode，比如等號(hào)就變成了“%3d”。

這樣就做到了代碼與數(shù)據(jù)的分離。

代碼與數(shù)據(jù)分離原則的本質(zhì)還是體現(xiàn)了安全問(wèn)題是信任問(wèn)題這一思想。

代碼是否應(yīng)該信任數(shù)據(jù)，或者說(shuō)代碼應(yīng)該信任怎樣的數(shù)據(jù)，是這個(gè)原則的本質(zhì)。

在應(yīng)用中，比較好的例子是json、XSLT，這些方法都比較好的做到了數(shù)據(jù)與代碼分離，所以在開(kāi)發(fā)中多使用這些比較好的方法，無(wú)形中就提高了安全性。

最佳實(shí)踐一：Secure By Default

經(jīng)常可以看到一些權(quán)威文檔上推薦使用“default denied”，這就是“Secure By Default”
的一種體現(xiàn)。

“Secure By Default”可以說(shuō)是一個(gè)最佳實(shí)踐。在很多時(shí)候，這個(gè)思想應(yīng)該上升到戰(zhàn)略的高度。只有真正做到“Secure By Default”，才能保證網(wǎng)站的安全。

因?yàn)殡S著時(shí)間的推移和系統(tǒng)的發(fā)展、膨脹，會(huì)變得越來(lái)越臃腫。一個(gè)大系統(tǒng)發(fā)展到后期，基本上沒(méi)有一個(gè)人能了解系統(tǒng)的全部，而變化卻每天都在發(fā)生。所以，在這種情況下，只有使用“Secure By Default”的思想來(lái)制定安全方案。

白名單往往是實(shí)現(xiàn)“Secure By Default”的方法。與黑名單不同，白名單的思想很好的體現(xiàn)了“default denied”。下面以XSS的防御問(wèn)題舉例。

對(duì)于一些HTML的標(biāo)簽和事件，黑名單的做法是列出危險(xiǎn)的標(biāo)簽和事件，然后禁止他們。

WEB安全的設(shè)計(jì)思想就像大家介紹完了，希望大家已經(jīng)掌握了。

【編輯推薦】

1. Web云安全技術(shù)應(yīng)用
2. WEB應(yīng)用安全設(shè)計(jì)思想
3. Web安全網(wǎng)關(guān)采購(gòu)指南 注重性能