九個問題從入門到熟悉HTTPS – 掘金
女朋友也是軟體工程專業,因為快要畢業了,最近一邊做畢設一邊學習程式設計。前兩天她問我 HTTPS 的問題,本來想直接扔一篇網上的教程給她。後來想了一下,那些文章大多直接介紹概念, 對新手不太友好,於是我乾脆親自給她解釋一下,順便整理了一份問答錄。 Q1: 什麼是 …
談談對 Web 安全的理解 – 前端 – 掘金
作為一個前端 er,掌握必要的網路安全知識是必要,下面我整理了幾種常見的網路攻擊方式及防禦技巧,本文內容來自網路,僅供參考。 CSRF 攻擊 CSRF(Cross-site request forgery), 中文名稱:跨站請求偽造,也被稱為:one clic…
前端必備 HTTP 技能之 WebSocket 協議詳解 – 前端 – 掘金
WebSocket是一個計算機通訊協議,通過一個TCP連線提供全雙工的通訊頻道。2011年IETF在RFC6455檔案中標準化了WebSocket協議,WebSocket的 Web IDL格式的API是W3C標準化的。 …
理解 TCP(三):連線的建立和釋放 – 掘金
更好閱讀體驗:《理解 TCP 和 UDP》— By Gitbook TCP 的整個交流過程可以總結為:先建立連線,然後傳輸資料,最後釋放連結。 三次握手和四次揮手.png 三次握手,建立連線 TCP 連線建立要解決的首要問題就是:要使每一方能…
掌握 HTTP 快取——從請求到響應過程的一切(上) – 前端 – 掘金
掌握 HTTP 快取——從請求到響應過程的一切(上) CDN類的網站曾經一度雄踞 Alexa 域名排行的前 100。以前一些小網站不需要使用 CDN 或者根本負擔不起其價格,不過這一現象近幾年發生了很大的變化,CDN 市…
理解 TCP(二):報文結構 – 掘金
更好閱讀體驗:《理解 TCP 和 UDP》— By Gitbook TCP 是面向位元組流的,但傳送的資料單元卻是報文段。 什麼是報文?例如一個 100kb 的 HTML 文件需要傳送到另外一臺計算機,並不會整個文件直接傳送過去,可能會切割成幾個部分,比…
理解 TCP(一):埠 – 掘金
更好閱讀體驗:《理解 TCP 和 UDP》— By Gitbook 埠與程式 TCP 的包是不包含 IP 地址資訊的,那是 IP 層上的事,但是有源埠和目的埠。就是說,埠這一東西,是屬於 TCP 知識範疇的。 我們知道兩個程式,在計算…
HTTPS 為什麼更安全,先看這些 – 掘金
HTTPS 是建立在密碼學基礎之上的一種安全通訊協議,嚴格來說是基於 HTTP 協議和 SSL/TLS 的組合。理解 HTTPS 之前有必要弄清楚一些密碼學的相關基礎概念,比如:明文、密文、密碼、金鑰、對稱加密、非對稱加密、資訊摘要、數字簽名、數字證照。接下來…
http、https、web 開發、協議、tip/ip、狀態碼等簡要手冊 http 權威指南 – 前端 – 掘金
前言 需要說明一下,因為一直有在看《HTTP權威指南》,覺得這是…
如何讓前端更安全?——XSS 攻擊和防禦詳解 – 前端 – 掘金
最近深入瞭解了一下XSS攻擊。以前總膚淺的認為XSS防禦僅僅只是輸入過濾可能造成的XSS而已。然而這池子水深的很吶。 1,XSS的型別 總體來說,XSS分三類,儲存型XSS、反射型XSS、DOM-XSS。 1.1、儲存型XSS 資料庫中存有的存在XSS攻擊的…
理解加密演算法(三)——建立 CA 機構,簽發證照並開始 TLS 通訊 – 前端 – 掘金
原文地址:http://www.zoucz.com/blog/201…, 1 不安全的TCP通訊 普通的TCP通訊資料是明文傳輸的,所以存在資料洩露和被篡改的風險,我們可以寫一段測試程式碼試驗一下。…
談談 HTTP 連線管理 – 後端 – 掘金
1 HTTP連線管理概述 最近重讀了《HTTP權威指南》部分章節,結合apache來對部分內容進行印證並記錄下來。HTTP連線管理我們大體會談到如下內容:序列連線,並行連線,持久連線以及管道化連線。現在流行的瀏覽器如chrome,firefox都採用了並行的持…
淺談 CSRF 攻擊方式 – 前端 – 掘金
一.CSRF是什麼? CSRF(Cross-site request forgery),中文名稱:跨站請求偽造,也被稱為:one click attack/session riding,縮寫為:CSRF/XSRF。 二.CSRF可以做什麼? 你這可以這…
CSRF 攻擊的應對之道 – 前端 – 掘金
CSRF 背景與介紹 CSRF(Cross Site Request Forgery, 跨站域請求偽造)是一種網路的攻擊方式,它在 2007 年曾被列為網際網路 20 大安全隱患之一。其他安全隱患,比如 SQL 指令碼注入,跨站域指令碼攻擊等在近年來已經逐漸為眾人熟…
前端經典面試題: 從輸入 URL 到頁面載入發生了什麼? – 前端 – 掘金
最近在進行前端面試方面的一些準備,看了網上許多相關的文章,發現有一個問題始終繞不開: 在瀏覽器中輸入URL到整個頁面顯示在使用者面前時這個過程中到底發生了什麼。仔細思考這個問題,發現確實很深,這個過程涉及到的東西很多。這個問題的回答真的能夠很好的考驗一個web工…
面向前端的 CDN 原理介紹 – 前端 – 掘金
內容分發網路(Content delivery network或Content distribution network,縮寫:CDN)是指一種通過網際網路互相連線的電腦網路系統,利用最靠近每位使用者的伺服器,更快、更可靠地將音樂、圖片、視訊、應用程式及其他檔案發…
面試 — 網路 HTTP – 掘金
現在面試門檻越來越高,很多開發者對於網路知識這塊瞭解的不是很多,遇到這些面試題會手足無措。本篇文章知識主要集中在 HTTP 這塊。文中知識來自 《圖解 HTTP》與維基百科,若有錯誤請大家指出。文章會持續更新。 面試 — 網路 TCP/IP 瞭解 Web …
HTTP 圖解 – 前端 – 掘金
本節內容 俗話說好的開發,底層知識必須過硬,不然再創新的技術,你也理解不深入,比如Python web開發工程師,想要學習任何一個框架,底層都是http和socket,底層抓牢了,學起來會很輕鬆,…
CSRF 詳解與攻防實戰 – 前端 – 掘金
本文從屬於筆者的資訊保安實戰中Web 滲透測試實戰系列文章。建議先閱讀下Martin Fowler的網路安全基礎。 Cross Site Request Forgery CSRF(Cross-site request forgery),中文名稱:跨站請求偽造,…
Nginx 配置 HTTPS 伺服器 – 後端 – 掘金
Chrome 瀏覽器位址列標誌著 HTTPS 的綠色小鎖頭從心理層面上可以給使用者專業安全的心理暗示,本文簡單總結一下如何在 Nginx 配置 HTTPS 伺服器,讓自己站點上『綠鎖』。Nginx 配置 HTTPS 並不複雜,主要有兩個步驟:簽署第三方可信任的 …
給你的 Node.js 專案部署 HTTPS – 前端 – 掘金
最近上線了一個面向前端領域技術乾貨的郵件訂閱服務,全站啟用了HTTPS,於是有了這篇文章來分享一下我是如何部署HTTPS的。 什麼是HTTPS 簡單的來講HTTPS是H…
圖解 https 協議 – 前端 – 掘金
我們都知道HTTPS能夠加密資訊,以免敏感資訊被第三方獲取。所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。 HTTPS簡介 HTTPS其實是有兩部分組成:HTTP + SSL / TLS,也就是在HTTP上又加了一層處理加…
HTTPS 理論詳解與實踐 – 前端 – 掘金
Github Repo Introduction 前置閱讀:Web應用安全基礎 在進行 HTTP 通訊時,資訊可能會監聽、伺服器或客戶端身份偽裝等安全問題,HTTPS 則能有效解決這些問題。在使用原始的HTTP連線的時候,因為伺服器與使用者之間是直接進行的明文傳…