安全

所谓认证（authentication）就是确认用户的身份，是网站登录必不可少的步骤。 密码是最常见的认证方法，但是不安全，容易泄露和冒充。 越来越多的地方，要求启用双因素认证（Two-factor authentication，简称 2FA）。本文介绍它的概念和实现方法。 一、双因素认证的概念 一般来说，三种不同 ...

XSS XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者 ...

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。 它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 （图片说明：摄于阿联酋艾因（Al Ain）的绿 ...

浏览器安全的基石是"同源政策"（same-origin policy）。很多开发者都知道这一点，但了解得不全面。 本文详细介绍"同源政策"的各个方面，以及如何规避它。 一、概述 1.1 含义 1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政 ...

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案，本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。 3、服务器向用户 ...

可用于在网站上替换 CAPTCHA， 易部署、免费、国内可访问、速度尚可。 今天，我们公布了 Turnstile 的公开测试版，即 CAPTCHA 的隐形替代方案。互联网中任何想在网站上替换 CAPTCHA 的用户都可以调用一个简单的 API，无需成为 Cloudflare 客户或通过 Cloudflate 全局网络 ...