全面杜絕DDoS、XSS、CSRF與SQL注入攻擊，打造無懈可擊的跨境獨立站

2核4G內存的配置，一般就可以搭建一個magento，woocommerce等開源商城正常運行，fecify跨境獨立站為什么可以跑saas？這個配置就可以開幾十個獨立站呢？因為fecify并不是一個單純的電商系統，而是一套的完整的安全解決方案。

系統支持全面防御DDOS、XSS、SQL注入及IP攻擊，守護您的fecify跨境saas獨立站。

sql注入攻擊，原理就是商城系統的sql使用了字符串拼接，將用戶提交的信息直接拼接到sql，如果用戶提交的數據是一段可以執行的sql，拼接后將會被執行，進入導致sql注入攻擊。

?fecify跨境獨立站系統，系統所有的sql都是通過框架封裝對象操作，杜絕任何的sql注入攻擊。

CSRF（Cross-site request forgery）跨站請求偽造，也被稱為“One Click Attack”或者Session Riding，通?？s寫為CSRF或者XSRF，是一種對網站的惡意利用。

通俗的講解：身邊比較常見的，譬如，讓你登陸了網站賬戶（地址為：www.a.com，） ，然后別人給你發了一個連接www.b.com/xxxx ，如果你點擊了，那么你的賬戶里面的積分，或者其他的一些東西可能被操作。在零幾年沒有U盾的那個年代，就發生過點開某個鏈接導致網銀的錢被轉走的情況，就是CSRF攻擊。

fecify跨境獨立站使用的是token機制，而不是session，token機制徹底杜絕CSRF的攻擊。

跨站腳本攻擊（XSS），攻擊者嵌入惡意腳本代碼到正常用戶會訪問到的頁面中，當正常用戶訪問該頁面時，則可導致嵌入的惡意腳本代碼的執行，從而達到惡意攻擊用戶的目的。

譬如：用戶在contacts頁面的內容部分，提交了一段可執行的js代碼，后臺管理員查看contacts的內容，這段js代碼被直接運行，進而竊取了后臺的session，攻擊者拿到session后即可登錄管理后臺。

fecify的前端是vue實現的，默認情況下都會對前臺的內容都進行了HTML轉義，因此不會存在執行用戶提交的js的問題，徹底杜絕XSS攻擊。

分布式拒絕服務攻擊(英文意思是Distributed Denial of Service，簡稱DDoS)是指處于不同位置的多個攻擊者同時向一個或數個目標發動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對受害者同時實施攻擊。由于攻擊的發出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務攻擊，其中的攻擊者可以有多個。ddos攻擊都有大量肉機，自己做防護幾乎是無法解決的。

fecify跨境獨立站是通過cloudflare進行解決了，通過套上CF，前面加了一層代理層，通過CF將這部分攻擊擋掉，cloudflare以抗DDOS攻擊而聞名，套上CF的網站基本是打不死的。

攻擊者繞過域名，直接攻擊服務器的IP，進而導致服務器癱瘓。

針對這種攻擊方式fecify跨境獨立站，在套上cloudflare后，在服務器做上IP訪問限制，只允許cloudflare的IP訪問服務器，對于其他的訪問IP直接屏蔽，進而保護服務器杜絕IP攻擊。

對于商城的數據請求，有查詢get請求，譬如商品詳情頁內容，還有一部分是提交post請求，譬如注冊賬號，商品加入購物車，創建定制等，這些都是前端提交數據，后端處理數據進而更新數據庫的過程。

fecify通過cloudflare的WAF機制，對于單IP請求在某段時間內請求超過最大次數（譬如：10秒內進行100次請求），則自動將其屏蔽。

???