全面杜绝DDoS、XSS、CSRF与SQL注入攻击，打造无懈可击的跨境独立站

2核4G内存的配置，一般就可以搭建一个magento，woocommerce等开源商城正常运行，fecify跨境独立站为什么可以跑saas？这个配置就可以开几十个独立站呢？因为fecify并不是一个单纯的电商系统，而是一套的完整的安全解决方案。

系统支持全面防御DDOS、XSS、SQL注入及IP攻击，守护您的fecify跨境saas独立站。

sql注入攻击，原理就是商城系统的sql使用了字符串拼接，将用户提交的信息直接拼接到sql，如果用户提交的数据是一段可以执行的sql，拼接后将会被执行，进入导致sql注入攻击。

 fecify跨境独立站系统，系统所有的sql都是通过框架封装对象操作，杜绝任何的sql注入攻击。

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

通俗的讲解：身边比较常见的，譬如，让你登陆了网站账户（地址为：www.a.com，） ，然后别人给你发了一个连接www.b.com/xxxx ，如果你点击了，那么你的账户里面的积分，或者其他的一些东西可能被操作。在零几年没有U盾的那个年代，就发生过点开某个链接导致网银的钱被转走的情况，就是CSRF攻击。

fecify跨境独立站使用的是token机制，而不是session，token机制彻底杜绝CSRF的攻击。

跨站脚本攻击（XSS），攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

譬如：用户在contacts页面的内容部分，提交了一段可执行的js代码，后台管理员查看contacts的内容，这段js代码被直接运行，进而窃取了后台的session，攻击者拿到session后即可登录管理后台。

fecify的前端是vue实现的，默认情况下都会对前台的内容都进行了HTML转义，因此不会存在执行用户提交的js的问题，彻底杜绝XSS攻击。

分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。ddos攻击都有大量肉机，自己做防护几乎是无法解决的。

fecify跨境独立站是通过cloudflare进行解决了，通过套上CF，前面加了一层代理层，通过CF将这部分攻击挡掉，cloudflare以抗DDOS攻击而闻名，套上CF的网站基本是打不死的。

攻击者绕过域名，直接攻击服务器的IP，进而导致服务器瘫痪。

针对这种攻击方式fecify跨境独立站，在套上cloudflare后，在服务器做上IP访问限制，只允许cloudflare的IP访问服务器，对于其他的访问IP直接屏蔽，进而保护服务器杜绝IP攻击。

对于商城的数据请求，有查询get请求，譬如商品详情页内容，还有一部分是提交post请求，譬如注册账号，商品加入购物车，创建定制等，这些都是前端提交数据，后端处理数据进而更新数据库的过程。

fecify通过cloudflare的WAF机制，对于单IP请求在某段时间内请求超过最大次数（譬如：10秒内进行100次请求），则自动将其屏蔽。

???