何　芳

HTML5技術(shù)下新農(nóng)村信息服務(wù)平臺(tái)安全問(wèn)題探究

何芳

（湖南財(cái)經(jīng)工業(yè)職業(yè)技術(shù)學(xué)院湖南衡陽(yáng)421000）

伴隨著通信技術(shù)的持續(xù)發(fā)展，4G網(wǎng)絡(luò)已經(jīng)發(fā)展到了一個(gè)高峰期，此時(shí)正是做好農(nóng)村信息化移動(dòng)服務(wù)平臺(tái)建設(shè)工作的關(guān)鍵時(shí)期。為進(jìn)一步提升農(nóng)村經(jīng)濟(jì)水平，文章基于HTML5技術(shù)，對(duì)關(guān)于信息化移動(dòng)服務(wù)平臺(tái)建設(shè)的相關(guān)問(wèn)題進(jìn)行了探究。

HTML5技術(shù)；新農(nóng)村；信息化移動(dòng)服務(wù)平臺(tái)；安全問(wèn)題

自從我國(guó)提出了關(guān)于新農(nóng)村建設(shè)的方針政策，全國(guó)新農(nóng)村建設(shè)工作得到了明顯的發(fā)展。信息化的建設(shè)工作逐漸成為新農(nóng)村建設(shè)的重要環(huán)節(jié)，在不同省市地區(qū)的農(nóng)村都非常重視移動(dòng)服務(wù)平臺(tái)的建設(shè)，借助平臺(tái)的建設(shè)與應(yīng)用可以更好的明確政策，掌握生產(chǎn)與生活方面的信息。對(duì)此，探討基于HTML5技術(shù)，總結(jié)關(guān)于信息化移動(dòng)服務(wù)平臺(tái)的建設(shè)相關(guān)問(wèn)題具有顯著實(shí)踐性價(jià)值。

1 基于HTML5技術(shù)的新農(nóng)村信息化移動(dòng)服務(wù)平臺(tái)

新農(nóng)村的信息化移動(dòng)服務(wù)平臺(tái)主要涉及到農(nóng)村新聞、電子村務(wù)、網(wǎng)上超市、涉農(nóng)信息、電子農(nóng)貿(mào)五個(gè)模塊，這一些模塊涉及到了新農(nóng)村建設(shè)與發(fā)展幾乎所有方面，具體內(nèi)容方面可以按照地區(qū)的實(shí)際發(fā)展需求以及農(nóng)民對(duì)于信息的需求進(jìn)行調(diào)整和完善。系統(tǒng)的結(jié)構(gòu)主要在于三個(gè)層面，分別為數(shù)據(jù)、表現(xiàn)以及業(yè)務(wù)層，數(shù)據(jù)層則是以SQLServer數(shù)據(jù)庫(kù)作為基礎(chǔ)，構(gòu)建不同類型信息表并完成系統(tǒng)的數(shù)據(jù)儲(chǔ)存。表現(xiàn)層則是以Visualstudio 2010 的表現(xiàn)模式，按照基礎(chǔ)平臺(tái)的技術(shù)提供，可以實(shí)現(xiàn)高效率的擴(kuò)展，并控制功能的耦合性。業(yè)務(wù)層則是應(yīng)用XML、序列化以及反序列化的技術(shù)方式，并以邏輯功能作為基礎(chǔ)，實(shí)現(xiàn)不同模塊的結(jié)合[1]。

對(duì)于平臺(tái)數(shù)據(jù)庫(kù)的處理方式而言，在數(shù)據(jù)處理方面新農(nóng)村的信息化移動(dòng)服務(wù)平臺(tái)主要優(yōu)勢(shì)在于按照移動(dòng)終端的運(yùn)行內(nèi)存較小、處理速度較快并且不需要PC設(shè)備等，應(yīng)用基礎(chǔ)的公共對(duì)象可以請(qǐng)求公共服務(wù)集成框架和基礎(chǔ)性的公共工作空間集成框架。采用和數(shù)據(jù)集成的方式則涉及到密集集成與松散集成兩種形式。

在平臺(tái)IU設(shè)計(jì)方面因?yàn)槊嫦蚴鼙娛寝r(nóng)民，所以操作的界面應(yīng)當(dāng)是以簡(jiǎn)單、快捷為原則，在主界面方面應(yīng)當(dāng)涉及到平臺(tái)的LOGO，之后以不同導(dǎo)航按鈕的方式，提供網(wǎng)上超市、涉農(nóng)信息以及電子貿(mào)易3 個(gè)模塊，導(dǎo)航欄之下可以提供動(dòng)態(tài)或圖片化的農(nóng)務(wù)信息。整個(gè)操作平臺(tái)簡(jiǎn)單，農(nóng)民可以獨(dú)立操作。

2 基于HTML5技術(shù)的新農(nóng)村信息化移動(dòng)服務(wù)平臺(tái)安全問(wèn)題

2.1 防御CORS攻擊

CORS也就是跨源資源共享，其定義是服務(wù)器與瀏覽器的一種交互性信息交流，在交流期間可以運(yùn)行跨域性的信息請(qǐng)求。CORS本質(zhì)上屬于一種高效率的信息溝通方式，信息共享作用也比較突出，但是這一過(guò)程也存在風(fēng)險(xiǎn)[2]。因?yàn)镃ORS屬于一個(gè)盲目的協(xié)議，其只能夠借助HTTP一側(cè)進(jìn)行控制。風(fēng)險(xiǎn)主要體現(xiàn)在兩個(gè)方面，一方面是HTTP一側(cè)智能說(shuō)明請(qǐng)求來(lái)自于特定的域，但是并不能分析其真實(shí)性。因?yàn)镠TTP頭可以被偽造，所以一些沒(méi)有通過(guò)驗(yàn)證的信息也可以被信任，此時(shí)部分重要功能可能會(huì)暴露，所以應(yīng)當(dāng)進(jìn)行SessionID的驗(yàn)證。另一方面是可能會(huì)涉及到入侵風(fēng)險(xiǎn)，例如FriendFeed可以借助跨域的方式請(qǐng)求，提交請(qǐng)求后執(zhí)行用戶部分操作，此時(shí)Twitter可以相應(yīng)，兩者之間相互信任，但是FriendFeed并不能驗(yàn)證數(shù)據(jù)的有效性，所以也存在風(fēng)險(xiǎn)。針對(duì)CORS的供給，首先應(yīng)當(dāng)杜絕缺少驗(yàn)證的跨域信息問(wèn)題，并借助SessionID的驗(yàn)證，同時(shí)針對(duì)請(qǐng)求方需要做好數(shù)據(jù)的驗(yàn)證判斷，并在服務(wù)方應(yīng)當(dāng)盡可能簡(jiǎn)化功能，確保功能的最少化與實(shí)用性，借助多種方式實(shí)現(xiàn)對(duì)非法請(qǐng)求的控制，例如HTTP頭與參數(shù)。

2.2 防御WebStorage攻擊

HTML5可以支持WebStorage。LocalStorage的API是借助JAVA方式供應(yīng)的，所以攻擊者可以借助XSS的方式獲得攻擊目標(biāo)信息，例如用戶的資料數(shù)據(jù)[3]。對(duì)于這一種攻擊方式，應(yīng)當(dāng)盡可能確保數(shù)據(jù)的作用域合理性，并且部分容易被攻擊的作用域中不能儲(chǔ)存相關(guān)的敏感信息。

2.3 防御WebSQL攻擊

數(shù)據(jù)庫(kù)的安全性一直屬于后端人員非常注重的問(wèn)題，但是因?yàn)镠TML5引入了本地?cái)?shù)據(jù)庫(kù)，所以前端開(kāi)發(fā)也應(yīng)當(dāng)高度重視數(shù)據(jù)庫(kù)的安全性[4]。WebSQL的安全問(wèn)題主要在于SQL的注入，攻擊者可以借助SQL的注入點(diǎn)方式實(shí)現(xiàn)數(shù)據(jù)庫(kù)的供給，例如接受ID參數(shù)實(shí)現(xiàn)對(duì)本地?cái)?shù)據(jù)庫(kù)的查詢和輸出，對(duì)于相應(yīng)的SQL語(yǔ)言，針對(duì)簡(jiǎn)單的SQL查詢攻擊者可以構(gòu)建一個(gè)“1or1=1”的數(shù)據(jù)，此時(shí)SQL語(yǔ)句會(huì)改變，此時(shí)便會(huì)導(dǎo)致1=1條件成立，這一語(yǔ)句可以直接查邊數(shù)據(jù)庫(kù)當(dāng)中所有的數(shù)據(jù)并實(shí)現(xiàn)數(shù)據(jù)，從而導(dǎo)致風(fēng)險(xiǎn)的形成。對(duì)于這一種攻擊形式，一方面需要檢查輸入的類型，過(guò)濾部分危險(xiǎn)的字符，必須保障任何的信息輸入可以滿足相應(yīng)的基礎(chǔ)要求，例如ID參數(shù)必須應(yīng)用數(shù)字類型方式進(jìn)行輸入，并在輸入期間對(duì)部分關(guān)鍵字詞和符號(hào)進(jìn)行過(guò)濾剔除。這一種處理方式可以參考PH當(dāng)中的addslashes函數(shù)這樣。另一方案應(yīng)當(dāng)提高對(duì)于SQL的操作重視度，無(wú)論是采用的select還是delete，都應(yīng)當(dāng)在編寫(xiě)期間重視SQL的語(yǔ)句合理性。另外，本地?cái)?shù)據(jù)庫(kù)當(dāng)中應(yīng)當(dāng)不儲(chǔ)存重要的數(shù)據(jù)。

3 小結(jié)

綜上所述，伴隨著農(nóng)村信息化移動(dòng)服務(wù)平臺(tái)的建設(shè)進(jìn)度不斷加快，安全問(wèn)題的研究也顯得越發(fā)重要?；贖TML5技術(shù)的應(yīng)用期間，應(yīng)當(dāng)圍繞該技術(shù)在新農(nóng)村信息化移動(dòng)服務(wù)平臺(tái)的開(kāi)發(fā)與應(yīng)用中保持謹(jǐn)慎，因?yàn)槊鎸?duì)群體屬于農(nóng)民，所以安全意識(shí)方面相對(duì)比較欠缺。對(duì)此，為了更好的保障平臺(tái)使用效益，豐富和改善用戶體驗(yàn)，應(yīng)當(dāng)在應(yīng)用新技術(shù)的同時(shí)高度重視安全問(wèn)題，降低安全風(fēng)險(xiǎn)，從而提高平臺(tái)實(shí)踐應(yīng)用價(jià)值。

[1]李珂,柴守亮,張超,等.綜合能源并網(wǎng)CPS模型及信息化安全防護(hù)方案研究[J].電工電能新技術(shù),2019,21(6):244-245.

[2]李濤,王福順,朱鳳雪,等.肝膽外科學(xué)見(jiàn)習(xí)中依托信息化平臺(tái)實(shí)施基于案例學(xué)習(xí)結(jié)合基于問(wèn)題學(xué)習(xí)教學(xué)方法的探討[J].中華醫(yī)學(xué)教育雜志,2017,37(6):916-920.

[3]李晨曦,吳克寧,吳靖瑤,等.中國(guó)土地整治研究熱點(diǎn)與發(fā)展趨勢(shì)——基于CiteSpace的知識(shí)圖譜分析[J].中國(guó)農(nóng)業(yè)資源與區(qū)劃,2017,38(11):46-53.

[4]管立杰,趙偉.農(nóng)村基礎(chǔ)設(shè)施PPP模式發(fā)展的影響因素研究[J].中國(guó)農(nóng)業(yè)資源與區(qū)劃,2019,23(6):114-120.

何芳（1981- ），女，漢族，湖南衡陽(yáng)人，本科，講師，研究方向：計(jì)算機(jī)程序設(shè)計(jì)、數(shù)據(jù)庫(kù)開(kāi)發(fā)與應(yīng)用、web前端開(kāi)發(fā)、電子商務(wù)。

TP393.09

C

2095-1205(2019)09-155-02

10.3969/j.issn.2095-1205.2019.09.91