如何把网站前的不安全删掉

1. 怎么把网站的地址栏‘不安全’去掉

目前很多主流浏览器都将http站点标记为不安全，将http升级为https可以消除这种不安全，也就是需要安装一个SSL证书。
SSL证书是数字证书的一种，主要功能是服务器认证和数据加密传输，申请流程如下：
第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个秘钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-7个工作日就能颁发。

2. 怎么把网站左上角的“不安全”标识去掉

你买一个SSL证书，进行认证就可以了。

网站有'不安全'提示，主要就是网站没有进行认证，数据传输没有加密，容易被人窃取数据，SSL证书受到99%的主流浏览器信赖，只要你进行了数字认证，也就是在服务器安装SSL证书，就可以在大部分主流浏览器有绿色地址栏了，“不安全”标识也就没有了

解决方式：ssln保护网站安全

3. 网站前显示不安全要怎样解决

网站增加SSL数字证书就可以了。

如何让网站显示安全：

1. 确定自己的网站使用的是独立服务器或虚拟主机支持SSL。

2. 进入淘宝里面找到：Gworg

3. 选择SSL证书结算后，按照要求完成域名DNS解析认证。

4. 获得SSL证书配置到服务器就可以实现网站安全了。
   

快速解决办法：淘宝找到Gworg获得SSL证书配置到服务器。

注意：只有网站负责人，并且拥有服务器与域名管理权限的才可以处理。

4. 急急急~！怎么把网页上的不良网站删了

1、一般来说这种情况多是因为病毒或恶意软件引起的。你杀一下毒或用SREng扫描一个日志上来看一下。
卸载不常用的软件.安全模式下扫描下有没有恶评插件如果有清理掉
2、开始－－运行－－msconfig
屏蔽掉除ctfmon以外的所有选项
。试一试清除垃圾文件．一般应该可以解决问题了
如果不行的话
重新注册IE项，修复IE注册。从开始->运行
输入命令
regsvr32
actxprxy.dll
确定
输入命令
regsvr32
shdocvw.dll
确定
重新启动，下载反间谍专家查有没有ADWARE，spyware，木马等并用其IE修复功能修复IE和注册表，用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。
用黄山IE修复专家，或者其它IE修复软件修复IE。祝你成功~！

5. 怎么把网站去除安全风险

如何消除网站安全的七大风险

改善之前

第三方专业安全测试公司进行测试，其中的重点问题列表如下：

问题1：易受到SQL注入攻击

风险：攻击者可以通过应用程序发送数据库命令，这些命令将被服务器执行。这可以用来对数据库进行完全控制。这些SQL注入漏洞可以通过在其中一个区域插入“and7=7-”或“and8=9-”，并比较结果进行判断。

分析：SQL注入攻击是由于服务器对参数检查不够，而导致攻击者借此获得敏感信息。因此，需要使用参数化查询以确保攻击者无法操作数据库的SQL查询语句。例如，如果应用程序要求输入名称，那它应该只接受字母字符、空格和撇号，而不接受任何其他字符。也就是说，在应用程序中的所有输入域实施服务器端白名单技术。特别是所有用于SQL语句的输入域，需要空格的都应该用引号括起来。

改善：在程序中所有可接受外部参数的地方进行逐一识别，以过滤危险字符。如在全局函数中定义“禁止字符串行表”，该表中列出所要过滤出的SQL攻击代码可能包含的字符串。

and|exec|insert|select|delete|update|count|*|chr|mid|master|truncate|char|declare|<|>|’|(|)|{|}

//当然可以根据网站的特点完善和修改本列表

接下来做如下处理：

问题2：易受到跨站点脚本攻击

风险：此漏洞可以被用来获取身份验证Cookie，攻击管理员账户，或使应用程序的用户攻击其他服务器和系统。该漏洞可以通过在某区域中插入“<script>alert(‘23389950’);</script>”来判断。

分析：这也需要在本网站的所有输入域实施服务器端白名单技术。如果需要特殊字符，应该转换为更安全的形式。如适用于各种语言的HTML转码：

&应转换为&；

“应转换为”；

‘应转换为&39；

>应转换为>；

<应转换为<。

改善：除了这些标准的HTML转码之外，对于可疑字符串也要进行强化检查和转化，并进一步执行以下操作：（1）对各页面的输入参数进行强化检查；（2）对原来只在客户端判断的参数，在服务器端进一步强化检查;（3）最终提供了全局的转码和过滤的函数。当然这需要在性能和扩展性以及安全性方面的平衡综合考虑。

问题3：非安全的CrossDomain.XML文件

风险：为解决Flash/Flex系统中的跨域问题，提出了crossdomain.xml跨域策略文件。虽然可以解决跨域问题，但是也带来了恶意攻击的风险，如果该策略文件里允许访问任何域，就可能允许发起对网络服务器的跨站点请求伪造和跨站点脚本攻击。比如，不安全Flash应用程序可能会访问本地数据和用户保存的网页记录，甚至传播病毒和恶意代码。

分析：考虑如何确保只对提供安全资源的可信域开放允许。

改善：经过调查，发现在程序目录下的crossdomain.xml文件里的配置如下：

<?xmlversion=”1.0″?>

<!DOCTYPEcross-domain-policySYSTEM”http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd”>

<cross-domain-policy>

<allow-access-fromdomain=”*”/>

</cross-domain-policy>

文件中的allow-access-from实体设置为星号设置为允许任何域访问，将其修改为<allow-access-fromdomain=”*.example.com”/>，表示只允许本域访问，该问题就解决了。

问题4：Flash参数AllowScript-Access已设置为always

风险：当AllowScriptAccess为always时，表明嵌入的第三方Flash文件可以执行代码。攻击者此时就可以利用该缺陷嵌入任意第三方Flash文件而执行恶意
代码。

分析：AllowScriptAccess参数可以是“always”、”sameDomain”或“never”。三个可选值中，“always”表示Flash文件可以与其嵌入到的HTML页进行通信，即使该Flash文件来自不同于HTML页的域也可以。当参数为“sameDomain”时，仅当Flash文件与其嵌入到的HTML页来自相同的域时，该Flash文件才能与该HTML页进行通信，此值是AllowScriptAccess的默认值。而当AllowScriptAccess为“never”时，Flash文件将无法与任何HTML页进行通信。

因此需要将AllowScriptAccess参数设置为“sameDomain”，可以防止一个域中的Flash文件访问另一个域的HTML页内的脚本。

改善

<param

name=”allowScriptAccess”value=”always”/>

改为

<param

name=”allowScriptAccess”value=“sameDomain”/>

问题5：网站后台管理通过不安全链接实施

风险：管理访问没有强制实施SSL，这可能允许攻击者监视并修改用户和服务器之间的发送的包括账户凭据在内的所有数据。如果攻击者通过代理或者路由软件拦截服务器和管理员间的通信，敏感数据可能被截获，进而管理员账户可能会受到危害。

分析：管理访问没有强制实施SSL，为防止数据拦截，管理访问应该强制执行HTTPS(SSL3.0)。

改善：运维对服务器进行了配置调整，单独配置支持了SSL3.0访问管理后台。

问题6：验证环节可以被绕过

风险：用户发布信息时，虽然有页面的验证码防止自动恶意发布，但仍可能被绕过进行自动提交。绕过的方式之一是使用过滤和识别软件，之二是可以利用Cookie或Session信息绕过验证码。

分析：图像失真机制本身不是特别强，可以很容易地使用公开的过滤和识别软件来识别。生成的图片也是可以预测的，因为使用的字符集很简单（只是数字），建议实现一个更强大的验证码系统。

Cookie或session信息处理有漏洞导致验证码被绕过,确保每一个链接只能取得唯一的验证码，并确保每个请求产生并需要一个新的验证码。

改善：根据需要增加验证码的复杂度，而不只是单数字。

经过分析发现是因为验证码被存入了Session里，而开发人员忘记在提交之后清空Session中的验证码的值，导致验证码在过期时间内一直可用，从而可能被利用多次提交。因此在提交后追加了及时清空验证码的操作。

问题7：泄露敏感信息

风险：此信息只能用于协助利用其他漏洞，并不能直接用来破坏应用程序。网站的robots.txt文件里可以获得敏感目录的信息，这可能允许攻击者获得有关应用程序内部的其他信息，这些信息可能被用来攻击其他漏洞。

分析：robots.txt不应在提供管理界面的信息。如果robots.txt文件暴露了Web站点结构，则需要将敏感内容移至隔离位置，以避免搜索引擎机器人搜索到此内容。

改善：当然robots.txt要根据SEO的要求来处理，但也要同样注意安全性。如：disallow:/testadmin/，其中testadmin为管理后台，就被暴露了。可以根据实际情况是否必要决定删除robots.txt文件或者把敏感目录单独配置禁止搜索引擎搜索。

其他问题汇总

除此以外，还有很多其他危害性相对较低的问题，分析如下。

问题：可能通过登录页面枚举出用户名，因为根据账户是否存在的错误信息是不同的。

对策：修改错误信息使之不带有提示性，如“您输入的邮箱或密码不对!”并且超过一定次数则对该IP进行锁定。

问题：检测到可能泄露敏感信息或被恶意利用的冗余文件，如测试文件、bak文件、临时文件。

对策：除去服务器中的相应文件。

问题：发现潜在机密信息，如名为order的文件很容易被联想到用户订单。

对策：避免在文件名中含有完整的敏感词汇或不要在容易猜测到的文件中保存敏感信息，或者限制对它们的访问。

问题：发现内部信息泄露。

对策：除去代码中漏删的内部IP地址，内部组织，人员相关信息等。

共性原因分析

在发现的问题中，71%是与应用程序相关的安全性问题。可以修改应用程序相关的安全性问题，因为它们是由应用程序代码中的缺陷造成的。29%是基础结构和平台安全性问题，可以由系统或网络管理员来修订“基础结构和平台安全性问题”，因为这些安全性问题是由第三方产品中的错误配置或缺陷造成的。

综合主要的原因包括但不限于以下三个方面。

程序方面

未对用户输入正确执行危险字符清理；

Cookie和Session使用时安全性考虑不足；

HTML注释中或Hiddenform包含敏感信息；

提供给用户的错误信息包含敏感信息；

程序员在Web页面上的调试信息等没有及时删除。

Web应用程序编程或配置不安全；

配置方面

在Web目录中留下的冗余文件没有及时清理；

Web服务器或应用程序服务器是以不安全的方式配置的。

安全规范文档不够完善，开发人员的培训不足；

开发人员的安全相关经验和安全意识不足。

对于这些问题的解决方法-——技术之外

对于安全问题本身的解决可能只能casebycase，但为了预防更多潜在问题的引入，技术之外方面的改善也不容忽视：

1.对于开发人员在项目初期即进行安全开发的培训，强化安全意识。

2.建立用于共享安全经验的平台，将经验形成Checklist作为安全指南文档。

3.将成熟的代码成果提炼出公共安全模块以备后用。

本次改善之后总结出一些常用基本安全原则供大家参考，见“非官方不完整网站开发安全原则”。

作者简介：晁晓娟，目前在互联网公司负责项目管理。InfoQ中文站SOA社区编辑，有多年的Web开发管理经验，关注项目管理、架构和产品。

(本文来自《程序员》杂志13年02期)

6. chrome网址前有不安全怎么关掉

解决方法

用户无法关闭不安全的网站标识，需要网站主办方进行修改才可以使得Chrome将网站标记为安全，具体方法如下：

1. 确保站点的证书是完全正确的，包括证书必须是由可信的机构颁发、证书中指定的域名与站点域名一致、证书的有效期保证未过期并且已生效

2. 站点中所有的资源、链接均使用https协议

3. 通信链路的问题与双方都无关，无法解决，因为本身就是因为数据被第三方获取了才提示的不安全，这种概率比较小，可能的原因是中病毒或被黑客入侵

扩展：产生原因

站点采用了https协议，但该https协议由于某些原因（配置错误、数据链路被篡改），导致本应安全的https协议变得不再安全
常见的原因如下：

1. https证书错误，证书时间已过期、证书不是可信机构颁发、证书与域名不匹配

2. https页面中允许了http的脚本执行

3. 通信链路被窃听、篡改（根本原因还是伪造了证书，即证书问题）

7. 怎么解除网站连接不安全

链接不安全就是该网站不安全，已经被屏蔽，无法进入。

链接是指在电子计算机程序的各模块之间传递参数和控制命令，并把它们组成一个可执行的整体的过程。链接也称超级链接，是指从一个网页指向一个目标的连接关系。

所指向的目标可以是另一个网页，也可以是相同网页上的不同位置，还可以是图片、电子邮件地址、文件、甚至是应用程序。

链接不安全注意：

基于用户研究和对浏览器面临的设计挑战的了解，谷歌提出了一组新的浏览器安全标识，用于表现有效HTTPS、HTTP不安全(“HTTPS有小错误”与“HTTP不安全”使用相同标识)、无效HTTPS不安全。

大数据时代，给人们的生活带来了极大的便利，足不出户就能买到自己喜欢的东西，使得越来越多的人访问在线购物网站，而网络犯罪分子也在不断改进他们的技术，以便骗取消费者的钱财。

8. 我家电脑打开有的网页后,会显示安全信息怎么去掉

在打开带脚本、程序之类的网页时，IE会自动弹出安全警告对话框，这是IE浏览器的默认设置。可以将其关闭，方法如下：

1、打开“Internet选项”对话框。

有两种方法可以打开：

（1）、在IE窗口的菜单栏中依次单击“工具|Internet选项”命令，即可打开“Internet选项”对话框。