什么是重放攻擊？重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發(fā)起

什么是重放攻擊？

重放攻擊(Replay Attacks)又稱重播攻擊、回放攻擊，是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊可以由發(fā)起者，也可以由攔截并重發(fā)該數(shù)據(jù)的敵方進行。 拒絕服務指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。

HTTPS如何防止重放攻擊？

客戶端拼接字符串規(guī)則如下：

接口 參數(shù) 時間戳 secretID（如果不是做對外開放性的API，是內部產品調用的話那么secretID可以是寫死的一個ID值）

將以上字符串用對稱加密，作為一個sign參數(shù)，請求服務端。

比如接口，login，參數(shù)有 name、password、加密后的sign

服務端接收到請求后，用對稱解密sign，得到secretID，核對值是否正確，那么說明請求方是可信任的。返回接口結果，并把sign記錄到redis。

下次接收到同樣請求時發(fā)現(xiàn)redis已經有對應的sign值說明是接口重放，不予以正常相應。因為正常用戶調用接口時間戳應該是改變的不可能產生同樣的sign值。

如果發(fā)現(xiàn)sign解釋出來的secretID是系統(tǒng)不存在的，那么說明請求方在偽造請求。不予以正常相應。

Web前端密碼加密是否有意義？

首先，我們要記?。涸诰W絡中任何場景下的加密都是有意義的！前端針對密碼的加密同樣如此。

我們要知道，HTTP協(xié)議有兩個特性：

• 無狀態(tài)
  

• 信息在網絡傳輸過程中是透明的

HTTP協(xié)議不像HTTPS協(xié)議，HTTP協(xié)議中所有信息都是明文的，此時如果在傳輸過程中被攔載，像密碼啥的黑客一看，就知道了。

所以很多站點在沒有啟用HTTPS時，也會對前端的密碼做加密處理，比如騰訊QQ空間的帳號密碼登錄、還有其它網站，當我們在輸入密碼時，提交表單后，經常會看到密碼框里的密碼長度一下子就變長了，其實就是在我們提交表單時，前端對密碼做了加密處理再賦值給密碼字段，所以表象上看就是密碼框里的黑點點變多了。

當在前端對密碼做了加密處理，此時即使信息在傳輸過程中被竊取，第三方看到的是加密后的密碼，他把這個密碼拿去是沒用的，因為這個加密串是有時間和其它一些特征的，在其它電腦/IP上提交服務端是驗證不通過的。

最后，就算是WEB前端密碼加密，不能簡簡單單用MD5對密碼進行加密，必須要加一些特征字符在里面，另外也要限制一下時效，防止加密后的密文一直有效。如果能用HTTPS協(xié)議請一定用HTTPS協(xié)議。

重放攻擊的定義是什么？

攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B。通過截取以前的合法記錄，重新加入一個連接，叫做重放攻擊。為防止這種情況，可以采用加入時間戳的辦法。