浅谈Web站点优化、安全

一、删除功能：重要数据伪删除，删除校验用户（避免A用户可以删除任何人数据）。文件上传预览删除功能不能做服务器文件删除，不要为了节省服务器资源给用户留下接口。如果要资源有限，那么在删除的时候也需要做用户校验（文件命名或文件路径关联用户ID等）

二、发短信:基本上没有人愿意自己和短信运营商直接对接短信业务，一般都是通过第三方短信服务商购买短信。在用户主动获取短信的时候前端做图片验证码校验，后端做发送量，发送间隔校验（图片验证码是可以被机识别的）。做短信日志记录，这些日志可以为前面的后台校验提供数据，系统运行期间的各种好处就不一一举例了。重要功能做语音验证码，比如注册送现金的活动，短信验证码可以被识别

三、页面数据获取：用户平凡的刷新数据会加大服务器压力，当然谁也挡不住用户刷新是吧，但是减少主动刷新次数也是一个减小服务器压力的方法，咱不能自己坑自己吧，(Table页切换做校验，有数据就不再拉取等等)

四、前端静态资源做CDN，可以提高用户访问速度，减少服务器压力

五、用户输入做SQL注入，javascript脚本注入

六、用到的Ajax请求：做ajax加拦截器，通过消息头过滤掉非ajax的地址栏访问，（谁然不一定能全部拦截，但是拦掉一部分小白还是可以得，总不能是个人就能攻击吧）

七、用户输入数据校验，输入文字长度，数字输入大小，int 、long等数据类型合理使用，(积分兑换的时候用户只有1积分，你让他输入兑换积分，你输入21000000000，int 接收的时候，超出了范围成了负数1永远大于负数)，还有一点很重要，你的任何校验都不要依靠前端，毕竟前端是为用户的体验而生的，为了自己的安全还是多写点后台校验吧，

八、异常捕获：不要将异常信息抛给用户，首先不美观，其次这些错误信息中可能含有SQL错误，通过这些sql可以了解到你的数据库结构

九、前端数据获取的时候减少不必要字段输出，java面向对象，表数据面向对象，本来页面只需要两个数据，结果你返回了一个实体，前端可已查看到你数据库表结构，多看几个页面那么你的数据库设计就给了人家了呢

十、用户信息加密传输，一定不要把重要数据留在客户端，泄密重要信息的责任是要你承担的哦

十一、    现在越来越多人使用阿里云服务器，做客户项目的时候服务器是客户购买的，当然阿里云账户客户也有，你的配置文件不加密客户就能看见你的系统配置，结合上面的搞搞你的数据库，那你的产品还有什么秘密，至于代码，你觉得他值钱么

十二、    前端JS 脚本 和页面分离，压缩或加密，不要你的团队幸幸苦苦开发的唯美的页面和效果，被人家一个ctrl+s拿去回家研究了，何况你的js中还有大量的逻辑

十三、    线程安全:

1、synchronized同步 （有序性、可见性），

2、使用生产者消费者模式，(唤醒notify()，等待wait())

3、volatile同步（可见性，非有序性，只在无基础数据的赋值操作，直接操作主内存，减少主内存复制到工作内存的cpu消耗）

十四、    数据库读写分离的时候要注意个别业务读也要读在主库上（避免主从同步失败或延时）