开发安全的 API 所需要核对的清单

logo 8 2024-05-24

以下是当你在设计,测试以及发布你的 API 的时候所需要核对的重要安全措施。 身份认证 [ ] 不要使用 Basic Auth ,请使用标准的认证协议(如 JWT,OAuth)。 [ ] 不要重新实现 Authentication、token generating 和 password storage,请使用标准库 ...

详情...

双因素认证(2FA)教程

logo 31 2023-10-16

所谓认证(authentication)就是确认用户的身份,是网站登录必不可少的步骤。 密码是最常见的认证方法,但是不安全,容易泄露和冒充。 越来越多的地方,要求启用双因素认证(Two-factor authentication,简称 2FA)。本文介绍它的概念和实现方法。 一、双因素认证的概念 一般来说,三种不同 ...

详情...

XSS 跨站脚本攻击介绍

logo 214 2023-03-18

XSS XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets) 重叠,所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者 ...

详情...

跨域资源共享 CORS 详解

logo 275 2023-03-16

CORS是一个W3C标准,全称是"跨域资源共享"(Cross-origin resource sharing)。 它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 (图片说明:摄于阿联酋艾因(Al Ain)的绿 ...

详情...

浏览器同源政策及其规避方法

logo 348 2023-03-16

浏览器安全的基石是"同源政策"(same-origin policy)。很多开发者都知道这一点,但了解得不全面。 本文详细介绍"同源政策"的各个方面,以及如何规避它。 一、概述 1.1 含义 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政 ...

详情...

JWT 认证和授权:详细介绍

logo 244 2023-03-14

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案,本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户 ...

详情...

Cloudflare 推出 Turnstile — 一款用户友好且保护隐私的 CAPTCHA 替代方案

logo 1203 2022-10-14

可用于在网站上替换 CAPTCHA, 易部署、免费、国内可访问、速度尚可。 今天,我们公布了 Turnstile 的公开测试版,即 CAPTCHA 的隐形替代方案。互联网中任何想在网站上替换 CAPTCHA 的用户都可以调用一个简单的 API,无需成为 Cloudflare 客户或通过 Cloudflate 全局网络 ...

详情...