标签：安全

XSS XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者 ...

CORS是一个W3C标准，全称是"跨域资源共享"（Cross-origin resource sharing）。 它允许浏览器向跨源服务器，发出XMLHttpRequest请求，从而克服了AJAX只能同源使用的限制。 本文详细介绍CORS的内部机制。 （图片说明：摄于阿联酋艾因（Al Ain）的绿 ...

浏览器安全的基石是"同源政策"（same-origin policy）。很多开发者都知道这一点，但了解得不全面。 本文详细介绍"同源政策"的各个方面，以及如何规避它。 一、概述 1.1 含义 1995年，同源政策由 Netscape 公司引入浏览器。目前，所有浏览器都实行这个政 ...

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案，本文介绍它的原理和用法。 一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。 3、服务器向用户 ...

可用于在网站上替换 CAPTCHA， 易部署、免费、国内可访问、速度尚可。 今天，我们公布了 Turnstile 的公开测试版，即 CAPTCHA 的隐形替代方案。互联网中任何想在网站上替换 CAPTCHA 的用户都可以调用一个简单的 API，无需成为 Cloudflare 客户或通过 Cloudflate 全局网络 ...

1、查找服务器所有访问者ip方法： awk '{print \$1}' nginx_access.log |sort |uniq -c|sort -n nginx.access.log 为nginx访问日志文件所在路径 会到如下结果，前面是ip的访问次数，后面是ip，很明显我们需要把访问次数多的ip并且不是蜘蛛的ip屏 ...

方法1）在Nginx配置文件中加入 fastcgi_param PHP_ADMIN_VALUE "open_basedir=$document_root:/tmp/:/proc/:/要允许的其他目录/"; 通常nginx的站点配置文件里用了include fastcgi.conf;，这样的，把这行加在fastcgi ...

当你新开通一台 Linux 服务器时，可以通过如下几点保证安全。 以 Ubuntu 系统为例： 1、修改 root 账户密码 将 root 密码更改为长而复杂的密码。您不需要记住它，只需将其存储在安全的地方。只有在您无法通过 ssh 登录账户 或丢失登录账户的 sudo 密码时才需要此密码。 passwd 2、保持内核 ...

在查看nginx日志时，经常发现一种攻击方式， 不用GET，也没用POST，而是用了一个16进制伪码：\0x01作为请求method. 其目标是使伺服器溢出，并导致了大量400 bad request包外流。 所以应付此类攻击最好的方式就是直接掐断连接。 配置方式 下面代码放进http{ }段内 map $reques ...

防盗链原理 防盗链的原理其实很简单，目前比较流行的做法就是通过Referer来进行判断和限制，Referer的解释说明如下： HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器基此可以获得一些信息用于处理。 简单来说 ...