你不可不知的WEB安全知识(第一部分:HTTPS, TLS, SSL, CORS, CSP)

于 2024-04-21 11:23:55 发布
阅读量730 收藏 27
点赞数 7
分类专栏: 程序员 文章标签: web安全 https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84091628/article/details/138028628
版权
    • scrypt
    • bcrypt

在这里插入图片描述

HTTPS

=======================================================================

它是HTTP的安全版本,该协议的全称是Hypertext transfer protocol secure,它主要用于在web浏览器和网站之间发送数据。

其他人不能访问数据,因为它使用TSL协议加密通信,我将在下一个主题中解释它。

HTTPS的工作原理

它使用称为传输层安全(TLS)的加密通信协议,前身称为安全套接字层(SSL)。

此加密使用两个密钥,一个称为公钥,另一个称为私钥。

  • 1、公钥:在浏览器和网站之间共享。

  • 2、私钥:此密钥用于解密由公钥加密的信息,并且不会在服务器之外共享。

在这里插入图片描述

TLS

=====================================================================

它是目前使用最多的协议,旨在促进互联网上通信的隐私、数据安全,TLS的使用案例是加密应用程序与服务器之间的通信、电子邮件、消息传递语音(VoIP)。

TLS的工作原理

任何要使用TSL的应用程序或网站,必须将TLS证书(也称为“ SSL证书”)安装到基本服务器上 。

它包含证书持有者、私钥和公钥的非常重要的信息,用于解密和加密通信。

此过程称为TLS握手🤝,步骤:

  • 确定会话期间将使用的TLS版本。

  • 通过使用TLS证书验证服务器的身份。

  • 握手过程结束后,生成会话密钥供会话期间使用。

为此,该主题需要进一步的解释,我将写一篇文章,并在此处添加一个链接。

在这里插入图片描述

SSL

=====================================================================

安全套接字层(SSL)是一种基于加密的Internet安全协议,它是Netscape公司于1995年为确保Internet连接的完整性和私密性而创建的,如今已将其命名为TLS。

SSL的工作原理

就像基于握手TLS概念的TLS版本。

TLS和SSL有什么区别

SSL是TSL的旧版本,在国际互联网工程任务组(IETF)继Netscape之后负责SSL的发展,其名称已更改,如今一些开发人员使用SSL和TLS来指代同一事物。

注意自1996年以来,SSL没有任何新更新,这使它非常容易受到黑客攻击,并且所有现代浏览器不再支持它,它们仅支持TLS。

在这里插入图片描述

CORS

======================================================================

跨域资源共享(CORS)是一种机制,它使用HTTP报头来指定哪些外源可以访问本地资源,以及如何访问它,这意味着我们可以为允许的跨域访问我们的资源列出一个白名单。

CORS的工作原理

  • 1、当站点发出获取请求以从外部服务器获取资源时,浏览器将添加一个标头,其中包含标有示例Origin的源:http://www.example.com

  • 2、服务器接收预检请求,并在白名单中搜索有关给定来源的Access-Control-Allow-Origins,然后发送给浏览器选项调用,然后浏览器将确定实际请求是否可以安全发送,例如 Access-Control-Allow-Origin:http://www.example.com 或此标头Access-Control-Allow-Origin:* 将允许任何请求获取资源。

  • 3、如果服务器指定方法,则它将请求方法与示例 比较 Access-Control-Allow-Methods: PUT, DELETE.

在这里插入图片描述

CSP

=====================================================================

内容安全策略是一个更高的安全层,可帮助检测和缓解不同类型的恶意攻击,例如(跨站脚本(XSS),数据注入攻击,点击劫持,等等……)。

  • 跨站脚本攻击(XSS):它是一个漏洞,允许黑客网站中注入恶意代码,并且用于使客户端执行该代码以获取敏感数据(例如Cookie,会话信息和特定于站点的信息),这是因为Web应用未使用足够的验证或编码,用户的浏览器无法检测到恶意脚本不可信。

  • 注入攻击:是一种注入到网站中的恶意代码,该代码从数据库中获取所有信息给攻击者,而其中的第一类是SQL注入。

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数前端工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年Web前端开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

如果你觉得这些内容对你有帮助,可以扫码获取!!(备注:前端)

最后

给大家分享一些关于HTML的面试题,有需要的朋友可以戳这里免费领取,先到先得哦。


链图片转存中…(img-3FjLTQG9-1713669759242)]

最后

给大家分享一些关于HTML的面试题,有需要的朋友可以戳这里免费领取,先到先得哦。

[外链图片转存中…(img-bD5Ykjp6-1713669759242)]
[外链图片转存中…(img-jGY9lbTS-1713669759242)]

2401_84091628
关注
  • 7
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
awesome-tls-hacks:SSLTLS 安全相关资源的集合
05-30
很棒的 SSL/TLS 黑客内容OpenSSL 漏洞工具模糊测试编程扫描其他词汇表 SSL/TLS 协议历史协议名称发布日期作者RFC SSL 1.0 不适用网景不适用SSL 2.0 1995年网景不适用SSL 3.0 1996年网景不适用TLS 1.0 1999-01 IETF ...
HTTPS安全问题及应对方案
最新发布
sdgfafg_25的博客
11-28 869
HTTPS是一种在网络通信中广泛使用的安全协议,通过使用SSL/TLS加密来保护数据的传输。然而,即使在使用了HTTPS的情况下,仍然存在一些潜在的安全问题。本文将深入探讨HTTPS安全问题,并提供一些有效的应对策略,以确保数据在传输过程中的安全性。
必须了解的Web安全知识第一部分HTTPSTLSSSLCORSCSP
RToax
10-11 779
HTTP的安全版本(HTTPS); 传输层安全性(TLS)的加密通信协议; 安全套接字层(SSL)今已将其命名为TLS; 跨域资源共享(CORS); 内容安全策略(CSP);
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 4429
关于HTTP中的CSP 在HTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
Web技术(三):TLS 1.2/1.3 加密原理(AES-GCM + ECDHE-ECDSA/RSA)
流云
05-14 2万+
一、TLS 加密原理 TLS (Transport Layer Security)通过对称密钥加密法来保证通信的机密性,通过消息认证码MAC来保证通信的完整性和真实性,对称加密与MAC共同构成了认证加密方案同时保证通信的机密性、完整性和真实性。 认证加密的共享密钥交换是个难题,Diffie和Hellman两人发明了一套密钥协商方案(Diffie–Hellman key exchange)解决了该问题,为确认通信对端的真实性又产生了数字签名算法,为解决数字签名中无法确认公钥真实性的问题,又提出了证书的概念。
https-slides:关于SSLTLS的演示
04-30
https-slides 带有SSL / TLS演示
Qt 5.13.2 qt.network.ssl: QSslSocket::connectToHostEncrypted: TLS initialization failed
01-07
qt.network.ssl: QSslSocket::connectToHostEncrypted: TLS initialization failed     网上很多说法是libeay32.dll和ssleay32.dll复制到可执行文件里,这个只是解决在Qt Creator下编译运行可以,单独打包不运行...
Web服务安全SSL/TLS、S-HTTP)
01-02
5.1 Web服务 5.2 网络服务安全隐患 5.3 SSL/TLS 5.4 S-HTTP 5.5 Web服务安全规范协议族
s2n-tls:s2n:TLSSSL协议的实现
02-23
s2n是TLS / SSL协议的C99实现,旨在简单,小巧,快速并且以安全性为优先。 它是根据Apache License 2.0发布并获得许可的。 Ubuntu快速入门 GitHub上的Fork s2n 在Ubuntu上运行以下命令。 git clone ...
HTTP CSP详解
码小余の博客
08-18 5686
HTTP CSP详解 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP
网络安全-Web安全协议
A soul tortured by desire
09-16 5580
大家上网娱乐或办公总是离不开浏览器,也就是从web端访问各个网站,其安全的重要性与其使用的广泛性成正比。本文就web端常见的相关安全协议分享。
java windows csp https,https页面引入http资源报错
weixin_33893111的博客
03-11 182
HTTPS页面里动态的引入HTTP资源,比如引入一个js文件,会被直接block掉的.在HTTPS页面里通过AJAX的方式请求HTTP资源,也会被直接block掉的。imageMixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request h...
HTTP-内容安全策略(CSP)详细
shiyidemingzij的博客
08-19 1949
内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能
http之CSP
weixin_33918114的博客
09-22 262
CSP 的概念 Content-Security-Policy 内容安全策略 让网站变得更加安全 详细资料 mdn csp 作用 限制资源获取 报告资源获取越权 限制方式 default-src限制全局 制定资源类型 资源类型 connect-src img-src font-src media-src frame-src script-src manifest-src style-src 一些案...
内容安全策略(Content Security Policy)
热门推荐
wuhuimin521的博客
08-14 2万+
内容安全策略(Content Security Policy) 内容安全策略(Content Security Policy)是一种声明的安全机制,可以让网站运营者能够控制遵循CSP的用户代理(通常是浏览器)的行为。通过控制要启用哪些功能,以及从哪里下载内容,可以减少网站的攻击面。CSP的主要目的是防御跨站点脚本(cross-st...
CSPCORS
weixin_50906078的博客
04-05 4031
一、CSP 内容安全策略(CSP)是一个更高的安全层,可帮助检测和缓解各种类型的民兵攻击,例如(跨站脚本(XSS),数据注入攻击,ClickJacking,ETC等)。 **跨站点脚本(XSS)**:它是一个漏洞,允许黑客在基本网站中注入民兵代码,并且用于使客户端执行该代码以获取敏感数据,例如Cookie,会话信息和特定于站点的信息由于Web应用程序未使用足够的验证或编码,因此用户的浏览器无法检测到恶意脚本不可信。 **数据注入攻击**:数据注入攻击是一种恶意代码,注入到网络中,该恶意代码从数据库中获取所
Nginx 部分 (四) -SSL设置及性能优化、CORS配置
CoffeeAndIce的博客
02-23 2203
在看过基础概念与性能管理后,SSL设置也随之到来,尽管可能准备的不尽人意,但是尽量使得内容足以解惑。   SSLTLS     SSL(Socket Secure Layer 缩写)是一种通过 HTTP 提供安全连接的协议。   SSL 1.0 由 Netscape 开发,但由于严重的安全漏洞从未公开发布过。SSL 2.0 于 1995 年发布,它存在一些问题,导致了最终的...
HTTP访问控制(CORS)
FY19951211的博客
10-20 2282
跨站 HTTP 请求(Cross-site HTTP request)是指发起请求的资源所在域不同于该请求所指向资源所在的域的HTTP请求。比如说,域名A(http://domaina.example)的某 Web 应用程序中通过<img>标签引入了域名B(http://domainb.foo)站点的某图片资源(http://domainb.foo/image.jpg),...
请求被中止: 未能创建 SSL/TLS 安全通道。这种问题该怎么排除
07-08
1. 安全证书问题:确保你的客户端和服务器都有有效的 SSL/TLS 证书。如果你是访问一个网站,可以尝试使用不同的浏览器或设备来确认是否仍然存在该问题。 2. 时间和日期设置不正确:确认你的设备的系统时间和日期...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值