一、安全的使用人工智能

1. 需要可控的人工智能
2. 代码上传至外网的人工智能要慎重使用。

二、服务器安全保障

1. DDOS攻击
   1. 概念
      1. 服务器DDOS攻击就是攻击者通过服务器、中病毒和木马的个人计算机和海外的代理服务器短时间内发送大量请求到服务器
      2. 服务器会突然收到大量请求，建立大量http链接，消耗服务器资源，直至服务器不可访问。
   2. 防御
      1. 购买服务器供应商的防火墙和流量清洗服务，或者高防IP
      2. 前端降低接口延迟，快速失败快速返回
      3. 测出项目瓶颈，当并发到瓶颈的时候拦截流量，防止服务器雪崩，保证核心系统可用。
2. DNS攻击
   1. 概念 攻击DNS解析服务器，让网站无法通过域名访问
   2. 防御 买供应商的防护功能，或者自己加固DNS解析服务器
3. 挖矿
   1. 概念
      • 在服务器端注入shell脚本，让服务器启动挖矿程序
   2. 防御
      • 买供应商的防护功能，或者自己修改复杂密码
4. 网络窃听和篡改 可以通过使用https传输数据，核心内容再用签名和加密，http有很多工具可以监听到请求数据
5. 防止盗链
   1. 概念
      1. 其他网站在页面中直接引用本服务器的图片
   2. 防御
      1. nginx，使用referer验证是否是自己网站的请求

三、网页安全

1. xss跨站脚本攻击
   1. 概念
      1. 页面被加入js脚本，获取页面信息、篡改信息、发送请求
      2. 注入点有浏览器地址栏、html的节点和属性、富文本、js代码

      <div>
           <img src="taobao.com/pay?id=200" />//html属性
           <script>//html节点
               alert("1")
               var test = "alert(1)"//js注入
           </script>
      </div>

   2. 防御
      1. 浏览器自动防御地址栏输入
      2. html节点和属性可通过转义单双引号、尖括号和空格
      3. js对单双引号，正反斜杠进行转义
      4. 富文本设置白名单
      5. 后端使用CSP设置可信任的执行文件
      6. 设置cookie的http-only属性，secure是否只在https中使用，http-only是否在http中使用，same-sit是否第三方网站使用
2. CSRF
   1. 概念
      1. 跨站请求伪造，用户访问别的页面，不知情的情况下操作了我们的网站
      2. 用户登录网站拿到cookie后在第三方网站上使用
   2. 防御
      1. 禁止第三方网站带cookie,使用same-site属性
      2. 前端加入验证信息
      3. 后端生成token给前端，前端将token隐藏在表单、meta、session等任意地方
      4. 后端通过http请求头上的referer判断是否是自己的网站发起的请求
3. 点击劫持
   1. 概念
      1. 将被攻击的网页嵌入到iframe上，并将它透明化，再用一个页面覆盖，引导用户点击。
   2. 防御
      1. 禁止内嵌到iframe，后端设置返回头X-frame-options设置deny
      2. 前端判断top.location和window.location是否一致

四、法律风险

1. 购买正规字体版权；
2. 使用授权商用图片（花瓣网、视觉中国...）；

五、代码安全防泄漏

1. 开发人员必须提供自己的github和码云账号，定期检查是否将公司源码上传；
2. 使用可靠的人工智能辅助编码，禁止使用第三方人工智能插件编写和优化代码；