前端html源码可以不暴露接口吗？为什么？

html属于的前端编程中一项，接口是必须要暴露的，起码基于现在的技术框架是无法避免的，因为只要是有关html的代码只需要在浏览器里面右键点击查看源代码所有的相关的html代码都会原封不动的展示出来，所以前端页面的很多样式特效只要有一家有新的变化出来，紧接着很快就会被抄袭拷贝了，样式和风格太容易拿来使用了，所以想在加密只能在数据接口上做做文章，现在web安全已经成为一个非常热点的问题，因为随着网页应用的普及化网页安全将会越来被重视。

常见的web都有哪些安全隐患，为什么要重视web安全？

SQL注入：这种危害性最大，直接违背设计者的初衷，注入篡改数据库操作，再严重点直接操纵数据库服务器，网站越大数据库被拖库的可能性越大，这是各大运营网站必须要面对的实际问题。在实际操作过程中对于用户的信息一定要管控，不要由着用户输入任何可能性对数据库产生危害的操作，不要使用动态拼接SQL，尽量不要返回异常信息给用户。

XSS：跨站脚本攻击

向web网页注入html脚本获取cookie为主，以js注入执行为主，导航到恶意网站或者注入木马，防护规则其实也很简单在js中，过滤掉关键字：JavaScript，cookie属性设置为http-only，同时提高代码严谨度和规范性比如在避免未经授权访问会话状态，限制会话的寿命，对身份验证的cookie进行加密，避免明文的形式密码发送。

当然还有其他的隐患：比如没有限制URL访问，越权访问，重复提交增加服务器负载等都是web安全领域涉及到的问题，现在web开发越来越倾向于前后端分离的方式，极大提升了开发的效率，但安全防护级别降低了，话又说回来只要在互联网上的东西很难保证绝对的安全，对于web来讲不上网就相当于瘫痪，所以只能在防护级别增加力度，为了防止被盗就采用数字加密方式常见的加密方式有（非对称的RSA，私钥加密等等），加盐操作（在拥有MD5算法的基础上采用加盐策略）普及下简单的概念加盐：“在密码学中，是指通过在密码任意固定位置插入特定的字符串，让散列后的结果和使用原始密码的散列结果不相符，这种过程称之为“加盐””，另外还有一种给现在支付吧或者微信接口经常使用的token机制，用令牌限制，这种通用性比较强，相当于在传输真正的数据之前先发送一个令牌指令验证打开门，验证通过之后才允许数据安全通过，而且这个令牌也是有期限的，到期了就会关闭。

网络的世界里面没有绝对的安全，在平常的开发过程中，代码的规范性以及严谨程度也会影响到安全指数，现在的网站开发功能一般都比较强大，参与人数多都会加大出错的概率，而且经常还有一个服务器上运行多个运营平台，这些都是安全隐患，绝大部分安全都是因为个人失误造成。

安全是无法完全杜绝，但可以通过一些方案或者措施最大程度的规避。