![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
web安全与防护
城南花开ze
技术不止
展开
-
HTTP 协议与原理分析之三
一、Nginx 代理配置和代理缓存Nginx 是反向代理服务器。代理服务器是一个中间服务器,它主要是把英特网上的不同客户端的请求转发到不同的服务器上。而反向代理服务器则是代理服务器的一种,它也是把英特网上的不同客户端的请求转发到不同的服务器上,它这些服务器是位于某个私有网络中,且该私有网络具有防火墙(比如防火墙只允许该私有网络通过一个指定的 IP 与 端口与外网连接)。在这一段中,proxy_cache_path cache levels=1:2 keys_zone=my_cache:10m;,如下所原创 2020-06-05 22:16:37 · 207 阅读 · 0 评论 -
HTTP 协议与原理分析之二
一、CORS 跨域CORS 是一个 W3C 标准,全称是"跨域资源共享"。它允许浏览器向跨源服务器,发出 XMLHttpRequest 请求,从而克服了 AJAX 只能同源使用的限制。CORS 需要浏览器和服务器同时支持,分为简单请求和复杂请求。跨域的允许方法有 GET、HEAD、POST 等等。允许 Content-Type,三种类型,text/plain、multipart/form-data、application/x-www-form-urlencoded。其它限制,请求头限制,XMLHt原创 2020-06-04 22:45:24 · 148 阅读 · 0 评论 -
HTTP 协议与原理分析之一
一、网络协议分层网络协议分层,经典的五层模型,分为客户端和服务端。客户端是分为应用层到传输层,再到网络层,到数据链路层,最后到物理层。服务端是物理层到数据链路层,再到网络层,到传输层,最后到应用层。应用层最常见的是 HTTP、FTP等等,传输层最常见的是TCP、UDP等等。物理层主要作用是定义物理设备如何传输数据。数据链路层在通信的实体间建立数据链路连接。网络层为数据在结点之间传输创建逻辑链路。传输层向用户提供可靠的端到端的服务,传输层向高层屏蔽了下层数据通信的细节。应用层为应用软件提供了很多服务,原创 2020-06-02 21:58:41 · 198 阅读 · 0 评论 -
前后端漏洞分析与防御之下
一、传输安全HTTP 传输窃听,在浏览器到代理服务器,再到链路,最后到服务器的这个过程中,代理服务器和链路容易发生传输链路窃听篡改。HTTP 窃听,包括窃听用户密码,窃听传输敏感信息,非法获取个人资料等等。HTTP 篡改,包括插入广告,重定向网站,无法防御的 XSS 和 CSRF 攻击。HTTPS,在浏览器到代理服务器,再到链路,最后到服务器的这个过程中,代理服务器和链路采用了 TLS(SSL) 加密。中间人攻击,浏览器到服务器之间,浏览器与中间人加密,服务器与中间人加密,中间人扮演了不同的角色原创 2020-05-31 23:42:00 · 351 阅读 · 0 评论 -
前后端漏洞分析与防御之上
一、前端 XSSXSS,全称为 Cross Site Scripting,跨站脚本攻击。XSS 攻击原理是 程序 + 数据 = 结果。Scripting 是可以获取页面数据、获取 Cookies、劫持前端逻辑、发送请求,所以就可以偷取网站任意数据、偷取用户资料、偷取用户密码和登录态、欺骗用户等等。XSS 攻击分类为反射型和存储型。反射型是 url 参数直接注入,存储型是存储到 DB 后读取时注入。XSS 攻击注入点是有 HTML 节点内容、HTML 属性、JavaScript 代码和富文本等。原创 2020-05-31 17:53:32 · 361 阅读 · 0 评论 -
前端面试之计算机网络技术常见问题总结
一、OSI模型 OSI模型是即 Open System Interconnect 模型,开放系统互联模型是一个七层的计算机网络模型,由下至上依次是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。二、TCP和UDP1.TCP和UDP是OSI模型中的运输层中的协议。TCP提供可靠的通信传输,而UDP则常被用于让广播和细节控制交给应用的通信传输。2.TCP:面向连接、传输可靠...原创 2020-03-13 00:39:07 · 499 阅读 · 0 评论 -
web安全的常见问题分析之SYN攻击
一、SYN攻击1. SYN攻击1)SYN攻击:攻击客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认。由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,导致目标系统运行缓慢,严重者会引起网络堵塞甚至系统瘫痪。SYN 攻击是一种典型的DoS/DDoS攻击。2. 检测SYN攻...原创 2019-09-29 17:27:48 · 436 阅读 · 0 评论 -
web安全的常见问题分析之点击劫持
一、点击劫持1. 点击劫持1)点击劫持是指在一个Web页面中隐藏了一个透明的iframe,用外层假页面诱导用户点击,实际上是在隐藏的frame上触发了点击事件进行一些用户不知情的操作2. 典型点击劫持攻击流程1)攻击者构建了一个非常有吸引力的网页2)将被攻击的页面放置在当前页面的 iframe 中3)使用样式将 iframe 叠加到非常有吸引力内容的上方4)将iframe设置为100...原创 2019-09-29 16:57:56 · 960 阅读 · 0 评论 -
web安全的常见问题分析之CSRF攻击
一、CSRFCSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的CSRF攻击流程受害者登录A站点,并保留了登录凭证(Cookie)攻击者诱导受害者访问了站点B站点B向站点A发...原创 2019-09-24 10:05:46 · 356 阅读 · 0 评论 -
web安全的常见问题分析之XSS攻击
一、XSS攻击1. XSSXSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击,攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取 cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等2. XSS 的本质恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚...原创 2019-09-20 09:44:34 · 482 阅读 · 0 评论 -
XSS攻击的理解及防范
1. XSSXSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击,攻击者在目标网站上注入恶意代码,当被攻击者登陆网站时就会执行这些恶意代码,这些脚本可以读取 cookie,session tokens,或者其它敏感的网站信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等2. XSS 的本质恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致...原创 2019-08-15 11:45:43 · 1020 阅读 · 0 评论 -
cookie的安全隐患以及防篡改机制
一、cookie的认识cookie1)cookie是指某些网站为了辨别用户身份、进行session跟踪而存储在用户本地终端上的数据(通常经过加密)cookie的登录1)排除用户手动删除浏览器cookie以及cookie未过期的情况下,用户如果在某网站登录过一次,下次访问这个网站,用户不需要输入用户名和密码就可以进入网站cookie的生命周期1)创建cookie的时候,会给c...原创 2019-05-28 14:27:56 · 6049 阅读 · 1 评论