你不可不知的WEB安全知识(第一部分:HTTPS, TLS, SSL, CORS, CSP)

于 2024-06-11 13:51:38 发布
阅读量1k 收藏 29
点赞数 23
文章标签: web安全 https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85122909/article/details/139597104
版权

HTTPS

=======================================================================

它是HTTP的安全版本,该协议的全称是Hypertext transfer protocol secure,它主要用于在web浏览器和网站之间发送数据。

其他人不能访问数据,因为它使用TSL协议加密通信,我将在下一个主题中解释它。

HTTPS的工作原理

它使用称为传输层安全(TLS)的加密通信协议,前身称为安全套接字层(SSL)。

此加密使用两个密钥,一个称为公钥,另一个称为私钥。

  • 1、公钥:在浏览器和网站之间共享。

  • 2、私钥:此密钥用于解密由公钥加密的信息,并且不会在服务器之外共享。

在这里插入图片描述

TLS

=====================================================================

它是目前使用最多的协议,旨在促进互联网上通信的隐私、数据安全,TLS的使用案例是加密应用程序与服务器之间的通信、电子邮件、消息传递语音(VoIP)。

TLS的工作原理

任何要使用TSL的应用程序或网站,必须将TLS证书(也称为“ SSL证书”)安装到基本服务器上 。

它包含证书持有者、私钥和公钥的非常重要的信息,用于解密和加密通信。

此过程称为TLS握手🤝,步骤:

  • 确定会话期间将使用的TLS版本。

  • 通过使用TLS证书验证服务器的身份。

  • 握手过程结束后,生成会话密钥供会话期间使用。

为此,该主题需要进一步的解释,我将写一篇文章,并在此处添加一个链接。

在这里插入图片描述

SSL

=====================================================================

安全套接字层(SSL)是一种基于加密的Internet安全协议,它是Netscape公司于1995年为确保Internet连接的完整性和私密性而创建的,如今已将其命名为TLS。

SSL的工作原理

就像基于握手TLS概念的TLS版本。

TLS和SSL有什么区别

SSL是TSL的旧版本,在国际互联网工程任务组(IETF)继Netscape之后负责SSL的发展,其名称已更改,如今一些开发人员使用SSL和TLS来指代同一事物。

注意自1996年以来,SSL没有任何新更新,这使它非常容易受到黑客攻击,并且所有现代浏览器不再支持它,它们仅支持TLS。

在这里插入图片描述

CORS

======================================================================

跨域资源共享(CORS)是一种机制,它使用HTTP报头来指定哪些外源可以访问本地资源,以及如何访问它,这意味着我们可以为允许的跨域访问我们的资源列出一个白名单。

CORS的工作原理

  • 1、当站点发出获取请求以从外部服务器获取资源时,浏览器将添加一个标头,其中包含标有示例Origin的源:http://www.example.com

  • 2、服务器接收预检请求,并在白名单中搜索有关给定来源的Access-Control-Allow-Origins,然后发送给浏览器选项调用,然后浏览器将确定实际请求是否可以安全发送,例如 Access-Control-Allow-Origin:http://www.example.com 或此标头Access-Control-Allow-Origin:* 将允许任何请求获取资源。

  • 3、如果服务器指定方法,则它将请求方法与示例 比较 Access-Control-Allow-Methods: PUT, DELETE.

在这里插入图片描述

CSP

=====================================================================

内容安全策略是一个更高的安全层,可帮助检测和缓解不同类型的恶意攻击,例如(跨站脚本(XSS),数据注入攻击,点击劫持,等等……)。

框架相关

原生JS虽能实现绝大部分功能,但要么就是过于繁琐,要么就是存在缺陷,故绝大多数开发者都会首选框架开发方案。现阶段较热门是React、Vue两大框架,两者工作原理上存在共通点,也存在一些不同点,对于校招来说,不需要两个框架都学得特别熟,一般面试官会针对你简历中写的框架进行提问。

在框架方面,生命周期、钩子函数、虚拟DOM这些基本知识是必须要掌握的,在学习的过程可以结合框架的官方文档

Vue框架

知识要点:
1. vue-cli工程
2. vue核心知识点
3. vue-router
4. vuex
5. http请求
6. UI样式
7. 常用功能
8. MVVM设计模式

React框架

知识要点:
1. 基本知识
2. React 组件
3. React Redux
4. React 路由

. 常用功能**

8. MVVM设计模式

[外链图片转存中…(img-oKKnoF2S-1718085085813)]

React框架

知识要点:
1. 基本知识
2. React 组件
3. React Redux
4. React 路由

[外链图片转存中…(img-ehqZVAnQ-1718085085814)]

2401_85122909
关注
web.xml cors_CORSCSP和其他Web安全概念:开发人员简介
cumian9828的博客
07-28 167
web.xml corsIf you keep hearing acronyms like CORS, CSP, and SSL - but don't know what they mean - you're in luck. This article by Austin Tackaberry covers these security concepts in detail. It's a gr...
CSPCORS
weixin_50906078的博客
04-05 4198
一、CSP 内容安全策略CSP)是一个更高的安全层,可帮助检测和缓解各种类型的民兵攻击,例如(跨站脚本(XSS),数据注入攻击,ClickJacking,ETC等)。 **跨站点脚本(XSS)**:它是一个漏洞,允许黑客在基本网站中注入民兵代码,并且用于使客户端执行该代码以获取敏感数据,例如Cookie,会话信息和特定于站点的信息由于Web应用程序未使用足够的验证或编码,因此用户的浏览器无法检测到恶意脚本不可信。 **数据注入攻击**:数据注入攻击是一种恶意代码,注入到网络中,该恶意代码从数据库中获取所
HTTP CSP详解
码小余の博客
08-18 5781
HTTP CSP详解 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们,要采取很多编程措施,非常麻烦。很多人提出,能不能根本上解决问题,浏览器自动禁止外部注入恶意脚本? 这就是"网页安全政策"(Content Security Policy,缩写 CSP)的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 一、简介 CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它的实现和执行全部由浏览器完成,开发者只需提供配置。 CSP
java windows csp https,https页面引入http资源报错
weixin_33893111的博客
03-11 209
HTTPS页面里动态的引入HTTP资源,比如引入一个js文件,会被直接block掉的.在HTTPS页面里通过AJAX的方式请求HTTP资源,也会被直接block掉的。imageMixed Content: The page at 'xxx' was loaded over HTTPS, but requested an insecure resource 'xxx'. This request h...
mobilePage:https
03-06
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的网络通信协议,它在HTTP的基础上加入了SSL/TLS(Secure Socket Layer/Transport Layer Security)层,用于加密数据传输,确保用户信息的安全性,特别是对于...
adrianna.dev:https
05-02
【标题】"adrianna.dev:HTTPS" 是一个与个人开发者Adrianna相关的专业网站,主要探讨的主题是HTTPS协议在网站安全中的应用。HTTPS(Hypertext Transfer Protocol Secure)是互联网上应用最为广泛的一种安全通信协议...
perfect-earth:https
03-21
"perfect-earth:https"这个标题可能指的是一个关于构建安全、美观的Web页面的项目或教程,特别是强调了HTTPS安全特性。 HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,通过SSL/TLS协议提供加密...
Electron应用的安全与加密:SSL证书和数据传输安全
# 1. 简介 ## 1.1 什么是Electron应用? Electron是一个流行的开源框架,用于构建跨平台的桌面应用程序。它基于Node.js和Chromium,并通过使用HTML,CSS和JavaScript等前端技术来实现应用界面。Electron应用具有良好...
安全技术学习路线图_pro
06-06
- Web安全Web应用程序的安全性是网络安全的重要组成部分,主要涉及SQL注入、跨站脚本(XSS)、跨站请求伪造(CSRF)等攻击的防护。 - 二进制安全:理解不同指令架构(如X86/X64、ARM、MIPS)有助于进行二进制级别的...
必须了解的Web安全知识第一部分HTTPSTLSSSLCORSCSP
RToax
10-11 818
HTTP的安全版本(HTTPS); 传输层安全性(TLS)的加密通信协议; 安全套接字层(SSL)今已将其命名为TLS; 跨域资源共享(CORS); 内容安全策略CSP);
TSL初步了解
yangyang的专栏
10-30 6912
1.概述 TSL(Transport Layer Security)安全传输层协议 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。 TSL由两层组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。 由于在TCP、UDP等方式传输数据时,数据包有可能被其他人截获,并解析出信息,这就给信息安全带来了很大的挑战。最初的SSL协议被...
前端常见安全问题总结
st3pby的博客
12-21 913
随着前端技术的快速发展,各种前端框架、前端配置不断更新,前端的安全问题也逐渐显现出来。为了应对这些问题,也诞生了诸如 CORSCSP、SOP 等一些应对策略。
HTTPS安全问题及应对方案
sdgfafg_25的博客
11-28 1035
HTTPS是一种在网络通信中广泛使用的安全协议,通过使用SSL/TLS加密来保护数据的传输。然而,即使在使用了HTTPS的情况下,仍然存在一些潜在的安全问题。本文将深入探讨HTTPS安全问题,并提供一些有效的应对策略,以确保数据在传输过程中的安全性。
关于HTTP中的CSP(Content-Security-Policy)内容安全策略
Wang的专栏
03-08 5278
关于HTTP中的CSP 在HTTP协议中为了使我们的网站足够的安全,经常要用到CSP(Content-Security-Policy)内容安全策略 CSP的作用 限制网站中资源的获取,以及请求发送到哪里 报告资源获取越权 CSP的限制方式 default-src限制全局和链接请求有关的东西 指定资源类型 connect-src manifest-src img-src font-src media-src style-src frame-src script-src 网页上和链接有关的…
Web技术(三):TLS 1.2/1.3 加密原理(AES-GCM + ECDHE-ECDSA/RSA)
热门推荐
流云
05-14 2万+
一、TLS 加密原理 TLS (Transport Layer Security)通过对称密钥加密法来保证通信的机密性,通过消息认证码MAC来保证通信的完整性和真实性,对称加密与MAC共同构成了认证加密方案同时保证通信的机密性、完整性和真实性。 认证加密的共享密钥交换是个难题,Diffie和Hellman两人发明了一套密钥协商方案(Diffie–Hellman key exchange)解决了该问题,为确认通信对端的真实性又产生了数字签名算法,为解决数字签名中无法确认公钥真实性的问题,又提出了证书的概念。
如何使用CORSCSP保护前端应用程序安全
最新发布
xnxqwzy的博客
03-15 909
好了,朋友们,让我们换个话题,探索一下 Content Security Policy (CSP)的领域——这是保护我们前端应用程序的有力盟友!️内容安全策略概述及其目标您的前端应用程序的内容安全策略CSP)就像一个保镖,决定谁可以进入,谁不可以。通过限制应用程序可以加载外部内容的来源,如脚本、样式表和图像,它旨在减少内容注入攻击,如跨站脚本(XSS)。即使恶意脚本通过用户生成的内容或外部资源进入您的应用程序,您可以通过定义严格的策略来阻止它们被执行。
网络安全-Web安全协议
A soul tortured by desire
09-16 5830
大家上网娱乐或办公总是离不开浏览器,也就是从web端访问各个网站,其安全的重要性与其使用的广泛性成正比。本文就web端常见的相关安全协议分享。
HTTP-内容安全策略CSP)详细
shiyidemingzij的博客
08-19 2051
内容安全策略CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件,这些攻击都是主要的手段。 CSP 被设计成完全向后兼容(除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1)。不支持CSP的浏览器也能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值