Web 精华文章
kobejayandy
十多年互联网产品研发经验,历经华为、腾讯、字节跳动等公司,主要从事后端技术研发及技术管理工作(andyjaykobe)
展开
-
网站安全之XSS漏洞攻击以及防范措施
XSS漏洞是网站漏洞中最容易出现的一种,至少现在的各大网站中基本都存在,传闻只有gmail是唯一一个完全不存在的,或者说攻击者没找出漏洞的,也许是因为XSS漏洞看起来危害并不是那么的大吧,所以基本上没有得到过太大的重视,从而也就造成了这么多的网站存在着一些很简单就能发现的XSS漏洞,在这篇blog中以我这个网站安全的外行人的角度来侃侃XSS漏洞攻击以及防范的措施。XSS漏洞的出现简单来说,转载 2013-09-18 23:15:16 · 1114 阅读 · 0 评论 -
Nginx 413 修改上传文件大小限制
在上传时nginx返回了413错误,查看log文件,显示的错误信息是:”413 Request Entity Too Large”, 需要做以下设置:打开nginx主配置文件nginx.conf,找到http{}段,增加 client_max_body_size的相关设置, 这个值默认是1m,可以增加到8m以增加提高文件大小限制;我设置成了 client_max_body_转载 2013-12-03 13:20:44 · 8826 阅读 · 0 评论 -
SecureCR中改变显示宽度
用SecureCRT登陆后查询数据都是折行显示,看起来非常困难1、首先全局设置:Options - Global Options - Terminal - Appearance - Maximumcolumns 最大只能设置成1024(推荐256),设置越大越占用内存,并选上show horizontal scrollbar,然后重启SecureCRT;2、然后session设置:转载 2013-12-09 13:27:23 · 1085 阅读 · 0 评论 -
URL编码与解码
通常如果一样东西需要编码,说明这样东西并不适合传输。原因多种多样,如size过大,包含隐私数据,对于Url来说,之所以要进行编码,是因为Url中有些字符会引起歧义。例 如Url参数字符串中使用key=value键值对这样的形式来传参,键值对之间以&符号分隔,如/s?q=abc&ie=utf-8。 如果你的value字符串中包含了=或者&,那么势必会造成接收Url的服务器解析错误,因此必须将引起歧义转载 2013-12-10 23:28:23 · 1050 阅读 · 0 评论 -
从事前端开发必须要了解的CSS原理
从事Web前端开发的人都与CSS打交道很多,有的人也许不知道CSS是怎么去工作的,写出来的CSS浏览器是怎么样去解析的呢?当这个成为我们提高CSS水平的一个瓶颈时,是否应该多了解一下呢? 一、浏览器的发展与CSS 网页浏览器主要通过 HTTP 协议连接网页服务器而取得网页, HTTP 容许网页浏览器送交资料到网页服务器并且获取网页。目前最常用的 HTTP 是 HTTP/1.1,这个协议转载 2013-03-22 22:31:27 · 1158 阅读 · 0 评论 -
网站性能优化之HTTP请求过程
网站性能优化中首要的一条就是要减少HTTP请求,那么为要减少HTTP请求呢?其实有些HTTP分析工具可以帮我们了解当浏览器请求一个资源时大致需要经历的哪些过程。1 域名解析(DNS Lookup): 这个没什么好说的就是把域名解析到指定IP地址的服务器所需要的时间。2 创建连接(connection): 创建一个Tcp 连接到服务器或代理服务器所需要的时间,如使用的是h转载 2014-01-05 14:47:38 · 1152 阅读 · 0 评论 -
Web性能压力测试工具之WebBench详解
webbench最多可以模拟3万个并发连接去测试网站的负载能力,个人感觉要比Apache自带的ab压力测试工具好,安装使用也特别方便。1、适用系统:Linux2、编译安装:wget http://www.ha97.com/code/webbench-1.5.tar.gztar zxvf webbench-1.5.tar.gzcd webbench转载 2014-05-03 22:01:23 · 909 阅读 · 0 评论 -
HTTP协议理解与应用总结
本文总结了自己在实际工作场景中遇到的与http协议相关的一些内容的理解。 Status Code http的状态码有将近60个,我这里主要记录一些常见的非正常情况下产生的状态码,在平常应用中或多或少会碰到,有助于我们去理解和发现问题。206 - 断点下载时用到,客户端请求了一部分内容,服务器成功把这部分内容返回给它,这时候就是用这个状态。301 - 永久跳转载 2014-03-23 15:43:28 · 964 阅读 · 0 评论 -
关于国外主机PING值
中美互联网传输媒介是海底光缆, 最新的海底光缆是中方上岸地点是 青岛,崇明岛,香港这三个地方;美方则是洛杉矶,俄勒冈州戛纳海滩。中美距离是半个地球,光一秒钟30万公里,绕地球7.5圈,1秒钟=1000毫秒,则绕地球半圈速度是1000/15=66毫秒,数据返回需要同样的时间。 ping美国一台服务器,数据请求过去,再回来,所需要的时间,就是我们常说的ping值。数据仅仅从海底光缆这头到那头,就已经需转载 2014-04-22 23:04:47 · 5282 阅读 · 0 评论 -
WEB安全:文件上传漏洞
今天学习的漏洞自己以前也没有接触过,文件上传漏洞,直面意思可以利用WEB上传一些特定的文件。一般情况下文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。文件上传本身是互联网中最为常见的一种功能需求,关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有:-1. 上传文件WEB脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致转载 2014-06-29 23:20:52 · 5566 阅读 · 0 评论 -
HTTP KeepAlive,开启还是关闭
所谓「HTTP Keep-Alive」,在维基百科里称为「HTTP Persistent Connection」,说白了就是复用HTTP连接,如此一来理论上客户端的用户体验会更流畅,但是与之相对服务端不得不维持大量的连接。开启还是关闭,这是个问题。 一个经常用来讲解HTTPKeepAlive的例子一般是这样描述的:当我们访问一个包含了若干个图片的网页时,如果HTTPKeepAlive是转载 2014-05-31 23:49:25 · 2252 阅读 · 0 评论 -
HttpTunnel技术介绍
1. 概述HttpTunnel(也叫Http隧道,Http穿梭),是这样一种技术: 它用HTTP协议在要通信的Client和Server建立起一条”Tunnel”,然后Client和Server之间的通信,都是在这条Tunnel的基础之上。HttpTunnel通常被用在受限的网络环境中,比如在NAT环境中的Client,受防火墙限制的环境中的Client等,在这样的环境中,Clie转载 2014-08-13 21:57:50 · 2755 阅读 · 0 评论 -
HTTP响应Chunked编码
最近公司有个应用要为第3方系统提供接口,大概要求就是对方向我方系统发送一个XML报文,我方根据请求报文响应数据,并以XML格式进行返回.测试的时候发现一个比较诡异的问题,有时候请求响应会无故多生成一些没有规律的字符串,并且这些字符串都在响应的body头部,由于响应是XML格式的,这些多余字符串在XML文件的标签之前,导致返回的XML文件无法得到正确解析.使用Fire Bug检测响应头和Body转载 2015-05-02 20:43:01 · 3682 阅读 · 0 评论 -
前后端分离
前言 前后端分离已经是业界所共识的一种开发/部署模式了。所谓的前后端分离,并不是传统行业中的按部门划分,一部分人纯做前端(HTML/CSS/JavaScript/Flex),另一部分人纯做后端,因为这种方式是不工作的:比如很多团队采取了后端的模板技术(JSP, FreeMarker, ERB等等),前端的开发和调试需要一个后台Web容器的支持,从而无法做到真正的分离(更不用提在部署的时候,转载 2015-06-25 19:38:07 · 1622 阅读 · 0 评论 -
防御 XSS 攻击的七条原则
前言本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》攻击者可以利用XSS漏洞向用户发送攻击脚本,而用户的浏览器因为没有办法知道这段脚本是不可信的,所以依然会执行它。对于浏览器而言,它认为这段转载 2015-06-25 22:16:34 · 2044 阅读 · 0 评论 -
Nginx和PHP-FPM通信使用unix socket及tcp socket配置
前言nginx和fastcgi的通信方式有两种,一种是TCP的方式,一种是unix socke方式。两种方式各有优缺点,这里先给出两种的配置方法,然后再对性能、安全性等做出总结。配置指南TCP配置方式TCP通信配置起来很简单,三步即可搞定第一步,编辑 /etc/nginx/conf.d/你的站点配置文件(如果使用的默认配置文件,修改/etc/nginx/sites-availa转载 2015-09-26 20:25:17 · 981 阅读 · 0 评论 -
SecureCRT中文显示乱码的解决方法
最近开始用SecureCRT登陆Linux系统,由于是新手,很多问题不清楚,碰到显示中文乱码的问题,困扰了好几天,网上的很多解决方法是:具体解决方法是:1,修改远程linux机器的配置vim /etc/sysconfig/i18n把LANG改成支持UTF-8的字符集如:LANG=”zh_CN.UTF-8″或者是LANG=”en_US.UTF-8″2,然后转载 2013-12-09 13:31:15 · 1537 阅读 · 0 评论 -
SecureCRT中改变背景色和文字颜色
options->;session options->;emulation->;terminal选择linux(相应的服务器系统)ansi color 打上狗狗options->; global option ->;appearance->;ANSI COLOR->;bold color ->;里面的8种色彩就是服务器里文件相应的颜色,想改那只颜色点击就行了,比如目录的颜色是蓝色的,偶不想要蓝转载 2013-12-09 13:35:17 · 58084 阅读 · 1 评论 -
Servlet与CGI的区别
概括来讲,Servlet可以完成和CGI相同的功能。 CGI应用开发比较困难,因为它要求程序员有处理参数传递的知识,这不是一种通用的技能。CGI不可移植,为某一特定平台编写的CGI应用只能运行于这一环境中。每一个CGI应用存在于一个由客户端请求激活的进程中,并且在请求被服务后被卸载。这种模式将引起很高的内存、CPU开销,而且在同一进程中不能服务多个客户。 Servlet提转载 2013-09-22 18:30:51 · 16726 阅读 · 0 评论 -
Web服务器和CGI的关系
什么是WEB服务器(IIS、Nginx、Apache)WEB服务器也称为WWW(WORLD WIDE WEB)服务器,主要功能是提供网上信息浏览服务。(1)应用层使用HTTP协议。(2)HTML文档格式。(3)浏览器统一资源定位器(URL)。CGI,FastCGICGI全称是“公共网关接口”(Common Gateway Interface),HTTP服务器与你的或其它转载 2013-09-22 18:48:59 · 14984 阅读 · 0 评论 -
Nginx如何处理一个请求
Nginx是什么?Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engine X”, 是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP 代理服务器.Nginx是由俄罗斯人 Sysoev为俄罗斯访问量第二的 Rambler.ru站点开发的,它已经在该站点运行超过两年半了。Sysoev在建立的项目时,使用基于BSD许可。基于名字的虚拟转载 2013-10-27 21:08:58 · 1195 阅读 · 0 评论 -
HTTP协议 (一) HTTP协议详解
当今web程序的开发技术真是百家争鸣,ASP.NET, PHP, JSP,Perl, AJAX 等等。 无论Web技术在未来如何发展,理解Web程序之间通信的基本协议相当重要, 因为它让我们理解了Web应用程序的内部工作. 本文将对HTTP协议进行详细的实例讲解,内容较多,希望大家耐心看。也希望对大家的开发工作或者测试工作有所帮助。使用Fiddler工具非常方便地捕获HTTP Request和HT转载 2013-11-23 22:55:18 · 1612 阅读 · 0 评论 -
HTTP协议 (二) 基本认证
http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别。 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢? 阅读目录什么是HTTP基本认证HTTP基本认证的过程HTTP基本认证的优点每次都要进行认证HTTP基本认证和HTTPS一起使用就很安全HTTP OAuth认证其他认证客户端的使用 什么是HTTP转载 2013-11-23 22:56:08 · 2070 阅读 · 0 评论 -
HTTP协议 (四) 缓存
之前写过一个篇 【HTTP协议详解】 ,这次继续介绍HTTP协议中的缓存机制。HTTP协议提供了非常强大的缓存机制, 了解这些缓存机制,对提高网站的性能非常有帮助。 本文介绍浏览器和Web服务器之间如何处理"浏览器缓存",以及控制缓存的http header.本文会使用Fiddler来查看HTTP request和Response, 如果不熟悉这工具,可以先参考[Fiddler教程] 。在转载 2013-11-23 22:58:09 · 1252 阅读 · 0 评论 -
HTTP协议 (五) 代理
之前写过一个篇 【HTTP协议详解】 ,这次介绍代理服务器, 代理服务器是HTTP协议中一个重要的组件, 发挥着重要的作用。 本文介绍一些HTTP代理服务器的概念和工作原理 阅读目录什么是代理服务器Fiddler就是个典型的代理代理作用一:翻墙代理作用二:匿名访问代理作用三:通过代理上网代理作用四:通过代理缓存,加快上网速度代理作用五:儿童过滤器IE代理设置:手动设置代理IE代转载 2013-11-23 22:58:58 · 1158 阅读 · 0 评论 -
HTTP协议 (六) 状态码详解
HTTP状态码,我都是现查现用。 我以前记得几个常用的状态码,比如200,302,304,404, 503。 一般来说我也只需要了解这些常用的状态码就可以了。 如果是做AJAX,REST,网络爬虫,机器人等程序。还是需要了解其他状态码。 本文我花了一个多月的时间把所有的状态码都总结了下,内容太多,看的时候麻烦耐心点了。HTTP状态码的学习资料到处都有,但是都是理论上讲解。 本文介绍HTT转载 2013-11-23 23:00:01 · 1399 阅读 · 0 评论 -
HTTP协议 (七) Cookie
Cookie是HTTP协议中非常重要的东西, 之前拜读了Fish Li 写的【细说Cookie】, 让我学到了很多东西。Fish的这篇文章写得太经典了。 所以我这篇文章就没有太多内容了。 最近我打算写一个系列的HTTP文章,我站在HTTP协议的角度, 说说我对Cookie的理解。 阅读目录Cookie是什么,有什么用,为什么要用到CookieCookie的分类Cookie存在哪转载 2013-11-23 23:00:59 · 1138 阅读 · 0 评论 -
Web安全之CSRF
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚转载 2013-11-23 23:25:26 · 1188 阅读 · 1 评论 -
HTTP抓包工具Fiddler
Fiddler是最强大最好用的Web调试工具之一,它能记录所有客户端和服务器的http和https请求,允许你监视,设置断点,甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说,都有很大的帮助。阅读目录Fiddler的基本介绍Fiddler的工作原理同类的其它工具Fiddler如何捕获Firefox的会话Firefox 中使用Fiddler插件Fiddler如何捕获HTT转载 2013-11-23 22:17:47 · 15682 阅读 · 2 评论 -
网络协议分析工具Wireshark
之前写过一篇博客:用 Fiddler 来调试HTTP,HTTPS。 这篇文章介绍另一个好用的抓包工具wireshark, 用来获取网络数据封包,包括http,TCP,UDP,等网络协议包。记得大学的时候就学习过TCP的三次握手协议,那时候只是知道,虽然在书上看过很多TCP和UDP的资料,但是从来没有真正见过这些数据包, 老是感觉在云上飘一样,学得不踏实。有了wireshark就能截获这些网络数转载 2013-11-23 22:20:47 · 8059 阅读 · 1 评论 -
HTTP协议 (三) 压缩
之前写过一个篇 【HTTP协议详解】 ,这次继续介绍HTTP协议中的压缩。本文会使用Fiddler来查看HTTP request和Response, 如果不熟悉这个工具,可以先参考[Fiddler教程]HTTP压缩是指: Web服务器和浏览器之间压缩传输的”文本内容“的方法。 HTTP采用通用的压缩算法,比如gzip来压缩HTML,Javascript, CSS文件。 能大大减少网络传转载 2013-11-23 22:56:59 · 1145 阅读 · 0 评论 -
Web安全之XSS
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。转载 2013-11-23 23:08:56 · 1058 阅读 · 0 评论 -
CSRF 攻击的应对之道
CSRF 背景与介绍CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 20转载 2013-11-25 23:52:43 · 860 阅读 · 0 评论 -
Apache反向代理部署Web应用
Apache安装的proxy功能由其proxy模块实现.加载模块有两种方式:静态和动态一 静态加载静态加载,在编译apache时候编译进去,编译参数如下:"./configure" \"-prefix=/usr/local/apache" \"--enable-so" \"--enable-rewrite" \"--with-mpm=prefork" \"--enable原创 2015-09-26 19:50:38 · 1149 阅读 · 0 评论