9 天前 / Fundebug
这是关于web安全性系列文章的第 三 篇,其它的可点击以下查看: Web 应用安全性: 浏览器是如何工作的Web 应用安全性: HTTP简介目前,浏览器已经实现了大量与安全相关的头文件,使攻击者更难利用漏洞。接下来的讲解它们的使用方式、它们防止的攻击类型以及每个头后面的一些历史。 HTTP Strict Transport Security (HSTS)HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,HSTS 的作用是强制客户端(如浏览器)使用 HTTPS 与服务器创建连接。自 2012 年底以来,HTTPS 无处不在的支持者发现,由于 HTTP ......
11 天前 / heartEngine
首发于Encounter的编程思考写文章Vue 服务端渲染实践 ——Web应用首屏耗时最优化方案counterxing内推腾讯各岗位,微信xingbofeng00132 人赞同了该文章随着各大前端框架的诞生和演变,SPA开始流行,单页面应用的优势在于可以不重新加载整个页面的情况下,通过ajax和服务器通信,实现整个Web应用拒不更新,带来了极致的用户体验。然而,对于需要SEO、追求极致的首屏性能的应用,前端渲染的SPA是糟糕的。好在Vue 2.0后是支持服务端渲染的,零零散散花费了两三周事件,通过改造现有项目,基本完成了在现有项目中实践了Vue服务端渲染。 关于Vue服务端渲......
14 天前 / 美团技术团队
总第342篇 2019年 第20篇 美美导读:移动互联网时代,大部分营销活动仍然通过 Web 页面来承载,但是 Web 页面由于天生的“环境透明”,所以在安全性层面有较大的挑战。本文主要以移动端 Web 页面为基础来讲述如何提升安全性。 在电商行业,线上的营销活动特别多。在移动互联网时代,一般为了活动的快速上线和内容的即时更新,大部分的业务场景仍然通过 Web 页面来承载。但由于 Web 页面天生“环境透明”,相较于移动客户端页面在安全性上存在更大的挑战。本文主要以移动端 Web 页面为基础来讲述如何提升页面安全性。 活动 Web 页面的安......
17 天前 / PHPer
常见漏洞 看到上图的漏洞是不是特别熟悉,如果不及时进行防御,可能就会产生蝴蝶效应。 如何进行防御?往下看,也许会有你想要的答案。 SQL注入攻击定义SQL注入攻击是通过WEB表单提交、URL参数提交或Cookie参数提交,将怀有恶意的“字符串”,提交到后台数据库,欺骗服务器执行恶意的SQL语句。 案例//以用户登录为例,当验证用户名和密码是否正确时 $sql = "SELECT * FROM user WHERE username = '".$_GET['username']."' AND password = '".$_GET['password']."'"; 用户恶意输入: $_GET['username'] = "' or 1=1 -- '......
19 天前 / 前端小智
制定向用户提供文件的最佳方式可能是一项棘手的工作。 有很多不同的场景,不同的技术,不同的术语。 在这篇文章中,我希望给你所有你需要的东西,这样你就可以: 了解哪种文件分割策略最适合你的网站和用户知道怎么做根据 Webpack glossary,有两种不同类型的文件分割。 这些术语听起来可以互换,但显然不是。 Webpack 文件分离包括两个部分,一个是 Bundle splitting,一个是 Code splitting: Bundle splitting: 创建更多更小的文件,并行加载,以获得更好的缓存效果,主要作用就是使浏览器并行下载,提高下载速度。并且运用浏览器缓存,只有......
26 天前 / 涯之叶
一、 常见web中间件及其漏洞概述(一) IIS1、PUT漏洞 2、短文件名猜解 3、远程代码执行 4、解析漏洞 (二) Apache1、解析漏洞 2、目录遍历 (三) Nginx1、文件解析 2、目录遍历 3、CRLF注入 4、目录穿越 (四)Tomcat1、远程代码执行 2、war后门文件部署 (五)jBoss1、反序列化漏洞 2、war后门文件部署 (六)WebLogic1、反序列化漏洞 2、SSRF 3、任意文件上传 4、war后门文件部署 (七)其它中间件相关漏洞1、FastCGI未授权访问、任意命令执行 2、PHPCGI远程代码执行 二、 IIS漏洞分析(一) IIS简介IIS是Internet Inform......
31 天前 / 六小登登
喜欢我的都关注我了从 13 年专科毕业开始,一路跌跌撞撞走了很多弯路,做过餐厅服务员,进过工厂干过流水线,做过客服,干过电话销售可以说经历相当的“丰富”。 最后的机缘巧合下,走上了前端开发之路,作为一个非计算机专业且低学历的人来说,自学编程其实不是件容易的事情,不过庆幸的是自己坚持下来了。 目前工作还算不错,收入在目前所在的城市不算高,不算低,生活也还过得去,继续加油努力,也希望自己在今后更上一层。 从 16 年下半年开始,我真正接触前端,到现在 2 年多的时间。开始之初,我没有任何的语言基础,完全从零的小白开始,......
34 天前 / 小记
言记每一个WEB开发都需要知道的CORS CORS存在感非常低,但它又存在于几乎所有的WEB页面中。 CORS是什么?CORS 全称是”跨域资源共享”(Cross-origin resource sharing)。是W3C定义的一种机制,它使用额外的 HTTP 头来告诉浏览器 让运行在一个源 (domain) 上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域 HTTP 请求。 为什么会有CORS?CORS的诞生源于浏览器的同源安全策略。所谓的同源,即协议相同、域相同、端口号相同。基于同源策略,浏......
37 天前 / IT程序狮
选择一套优秀的配色方案不应该是一个悲催的任务。选择适合的工具,再有一双懂美的双眼,就能让你的设计工作事半功倍。 虽然,我不会直接给你一份合适的配色方案,但今天分享的一些色彩工具,或许对提升你的工作效率和审美有所帮助。 由于这些工具便捷、易用,并且完全免费,你可以将它们收藏起来,以便经常使用。它们使用范围广泛,WEB 端、移动端、或者打印都可以满足你的选色需求。