網路介面是沒辦法不暴露的，就算你藏得很深，網路請求也會暴露介面，你不如考慮介面安全性，非鑑權請求攔截掉，如果真對介面地址那麼保密，可做服務中轉，即二次轉接，網路請求到的是你的中轉服務，中轉服務再去請求真實介面，這樣，假如有網路攻擊，也不會直接攻擊到真實介面伺服器

這個確實不能避免，對於開發者而言，直接f12開啟除錯模式就能看到，就算你隱藏得再深，但是請求資料的過程，還是會參與網路通訊，只要是網路通訊，那麼肯定會有資料包互動，對於高手而言，用抓包工具，抓取資料包，然後分析得出你的介面地址，那是很簡單的事。

如果介面的保密性真有那麼高要求的話，你可以給介面加驗證，比如，登入的cookie、或者是加一個token驗證，就像微信開放平臺的那套介面一樣，要使用介面，先要去請求token的介面，獲取到一個token，然後在請求真實的介面，並把這個token傳遞過去，後臺驗證這個token是否存在，如果存在才把資料返回去，當然，這個token必須得有一個過期時間，不能一直有效，否則就沒有什麼意義了。

不可能不暴露，都是標準協議，總可以抓到介面地址，安全的方法永遠不是隱藏你家地址，是給你的門加鎖，加保安，加圍欄

介面暴露是必須存在的，頂多是做一些掩飾，防防小白，但真要抓到你網站的介面，除非你不用，比如原始的php服務端渲染網頁，但現在都是前後端分離，為了開發和維護，是要損失一些東西的。

Web開發，如果對安全有考慮，可以參考下面三個原則，適當調整和改造即可。

防竊取：非對稱加密RSA，公鑰加密，私鑰解密等

防篡改：MD5混淆演算法，加鹽

防洩露：設定token機制，令牌限制

html屬於的前端程式設計中一項，介面是必須要暴露的，起碼基於現在的技術框架是無法避免的，因為只要是有關html的程式碼只需要在瀏覽器裡面右鍵點選檢視原始碼所有的相關的html程式碼都會原封不動的展示出來，所以前端頁面的很多樣式特效只要有一家有新的變化出來，緊接著很快就會被抄襲複製了，樣式和風格太容易拿來使用了，所以想在加密只能在資料介面上做做文章，現在web安全已經成為一個非常熱點的問題，因為隨著網頁應用的普及化網頁安全將會越來被重視。

SQL注入：這種危害性最大，直接違背設計者的初衷，注入篡改資料庫操作，再嚴重點直接操縱資料庫伺服器，網站越大資料庫被拖庫的可能性越大，這是各大運營網站必須要面對的實際問題。在實際操作過程中對於使用者的資訊一定要管控，不要由著使用者輸入任何可能性對資料庫產生危害的操作，不要使用動態拼接SQL，儘量不要返回異常資訊給使用者。

XSS：跨站指令碼攻擊

當然還有其他的隱患：比如沒有限制URL訪問，越權訪問，重複提交增加伺服器負載等都是web安全領域涉及到的問題，現在web開發越來越傾向於前後端分離的方式，極大提升了開發的效率，但安全防護級別降低了，話又說回來只要在網際網路上的東西很難保證絕對的安全，對於web來講不上網就相當於癱瘓，所以只能在防護級別增加力度，為了防止被盜就採用數字加密方式常見的加密方式有（非對稱的RSA，私鑰加密等等），加鹽操作（在擁有MD5演算法的基礎上採用加鹽策略）普及下簡單的概念加鹽：“在密碼學中，是指透過在密碼任意固定位置插入特定的字串，讓雜湊後的結果和使用原始密碼的雜湊結果不相符，這種過程稱之為“加鹽””，另外還有一種給現在支付吧或者微信介面經常使用的token機制，用令牌限制，這種通用性比較強，相當於在傳輸真正的資料之前先發送一個令牌指令驗證開啟門，驗證透過之後才允許資料安全透過，而且這個令牌也是有期限的，到期了就會關閉。

網路的世界裡面沒有絕對的安全，在平常的開發過程中，程式碼的規範性以及嚴謹程度也會影響到安全指數，現在的網站開發功能一般都比較強大，參與人數多都會加大出錯的機率，而且經常還有一個伺服器上執行多個運營平臺，這些都是安全隱患，絕大部分安全都是因為個人失誤造成。

安全是無法完全杜絕，但可以透過一些方案或者措施最大程度的規避。