分類‘網絡技術’

前端跨域問題及解決方案

對于絕大多數B/S系統開發者來說,"跨域"并不是什么陌生的詞匯,但也往往因為熟悉而忽略其本質。眾所周知,Web瀏覽器往往是不安全的,出于安全考慮,Netscape公司1995年在瀏覽器中引入同源策略(same-origin policy),目的是為了保證用戶信息的安全,防止惡意的網站竊取數據。目前,所有瀏覽器都實行這個政策,"跨域"問題也由此形成。

所謂同源,簡單的講,就是網址必須是同協議、同域名(主域、子域與不同子域都稱為非同域名)、同端口,兩個網址出現任一項不同則出現跨域。

受同源策略影響,出現跨域的情況,我們不能做以下三類事

1)不能操作cookie、LocalStorage(SessionStorage) 和 IndexDB
2)不能操作DOM
3)不能發送AJAX 請求

顯然,同源策略影響的不止是"惡意網站",合理的用途也受到影響。下面將介紹如何規避上面三種限制。
查看更多...

為你的Express應用增加CSRF防護

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為"One Click Attack"或者Session Riding,通常縮寫為CSRF或者XSRF,是一種對網站的惡意利用。盡管聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內的信任用戶,而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。

眾所周知,Web系統并沒有絕對的安全,就比如我們公司年前遇到的情況,有些惡心網站通過網絡抓包等手段,截取驗證碼發送接口,通過偽造請求實現了傳入任意手機號并發送驗證碼的功能,雖然這看起來并沒有什么用,但當這些不法分子拔了成百上千個接口后,就形成了一個瘋狂的短信轟炸機,對于服務提供者,這些地下網站只要有人使用,就會不斷得消耗短信費用,給企業帶來不必要的損失。 查看更多...

使用iptables限制訪問網站指定端口

Linux用得比較少,所以對iptables也不是很熟悉,最近部署網站,因為對外的80端口是通過nginx轉發,而內部程序都是類似8080、3000之類的端口,不做處理的情況下,很可能會看到如:地址www.pswuul.tw、地址www.pswuul.tw:8080同時可以訪問的情況,這樣對于SEO其實是很不利的,比如cnodejs.org,經常會搜到NodeJS相關文章,但是路徑是cnodejs.org:8080,這樣一來給用戶帶來不便,二來多個相同內容也一定程度上降低權重,所以,我們要禁止對帶非80端口的路徑進行訪問。

看了相關文章,都是推薦iptables配置,嘗試一番后解決了手頭上問題,特記錄一下,利人利己。

配置很簡單,命令如下:

1、在tcp協議中,禁止所有的ip訪問本機的8080端口。

iptables -I INPUT -p tcp --dport 8080 -j DROP

2、允許127.0.0.1訪問本機的8080端口 查看更多...

CORS跨域請求[簡單請求與復雜請求]

CORS即Cross Origin Resource Sharing(跨來源資源共享),通俗說就是我們所熟知的跨域請求。眾所周知,在以前,跨域可以采用代理、JSONP等方式,而在Modern瀏覽器面前,這些終將成為過去式,因為有了CORS。

CORS在最初接觸的時候只大概了解到,通過服務器端設置Access-Control-Allow-Origin響應頭,即可使指定來源像訪問同源接口一樣訪問跨域接口,最近在使用CORS的時候,由于需要傳輸自定義Header信息,發現原來CORS的規范定義遠不止這些。

CORS可以分成兩種:

1、簡單請求
2、復雜請求

一個簡單的請求大致如下 查看更多...

XSS攻擊的原理

近來又在論壇看到有xss的通知,由于概念模糊,就掃下盲,順便轉些東西過來了。

概念說明

Xss(cross-site scripting)攻擊指的是攻擊者往Web頁面里插入惡意html標簽或者javascript代碼,當用戶瀏覽該頁或者進行某些操作時,攻擊者利用用戶對原網站的信任,誘騙用戶或瀏覽器執行一些不安全的操作或者向其它網站提交用戶的私密信息。
比如:攻擊者在論壇中放一個看似安全的鏈接,騙取用戶點擊后,竊取cookie中的用戶私密信息;或者攻擊者在論壇中加一個惡意表單,當用戶提交表單的時候,卻把信息傳送到攻擊者的服務器中,而不是用戶原本以為的信任站點。
諸如此類,唯一能完全杜絕xss攻擊的方法,就是禁用script,img等,顯然這是不靠譜的,用戶需要豐富的頁面內容;當然我們可以用一些方法預防xss攻擊,盡量減少xss造成的危害。

XSS攻擊的危害包括 查看更多...

巧用SFTP賬號配合SSH客戶端瀏覽網站

前幾天曾介紹了《Linux主機建立只有代理權限的SSH用戶簡單步驟》,有人說不知道SSH怎么用,這個其實一早就想發了,但考慮到個別因素,一直沒有分享,現在幾經折騰,固定流量流失得所剩無幾,也無所謂了,就分享下自己常用的方法吧。

關于此類信息,此前也曾分享過《簡單兩步,讓你的手機告別vpn、遠離ssh》,文中描述了手機科學上網的方式,這里不再贅述,其實很多人知道這東西在電腦上也蠻好用的,不過前一段貌似也不好使了,于是暫且拋之。重拾VPN不是不可,但是現在看來,一般情況下我們的需求并不需要VPN那么強大的支持。也許我們只是需要一種正常科學的上網途徑(都懂的)。 查看更多...

Linux主機建立只有代理權限的SSH用戶簡單步驟

相信很多朋友跟我一樣,在有些時候,因為一些特殊的問題,需要用到代理。至于VPN代理就不多說了,有經驗的都知道,XEN的VPS搭建VPN比較容易,wget個PPTP一鍵安裝包很順利就搭建好了。但是OpenVZ就麻煩一點,可能要TK開通TUN/PPP,然后安裝,可能還遇到一些莫名的問題。關于此類操作,可以見《CentOS下安裝PPTP VPN小記》,記錄了使用xen架構下安裝PPTP VPN的步驟。

雖然我也偶爾用用VPN,但是個人認為,VPN有時候并不是完美的解決方案,比如你喜歡上QQ,開了VPN就要重新登錄,一般還要輸驗證碼,如果設置了登錄驗證,甚至還需要驗證密保等,相信大多數人不喜歡這點,除此之外,還有些其他問題,比如瀏覽本地網站慢了,等等問題。所以,一般情況下VPN還不如SSH方便。 查看更多...

新網新版在線提問系統BUG,望新網重視

說起來有一段沒有更新過博客了,主要是因為朋友公司的域名在一個頹廢了的新網代理那里,原先是我注冊的,我自然要給搞出來了,無奈注冊時填寫信息不是我本人,而是公司簡稱,熟悉國內域名管理情況的都應該明白了,這樣提供不了有力資料只能等待域名刪除再續費了,聯系新網轉入官網,新網也不給轉,這便是前奏。

隨之,因為這幾天沒有面試,直接整天聯系新網客服,新網客服態度蠻橫,讓我一度想一罵為快,最終還是忍住了,這是其次。

下面貼出本文主題,新網在線提問系統BUG。 查看更多...

Flame病毒潛伏5年后現身,比Stuxnet病毒強20倍

據各大網站5月29日報道,一種名為Flame的新型蠕蟲病毒最近在中東地區被發現,目前至少已有數萬臺電腦被感染。安全專家稱該病毒具有極強的間諜功能,比Stuxnet病毒強20倍,是迄今為止最為復雜的病毒。

匈牙利布達佩斯大學計算機安全研究實驗室Crysys實驗室的研究人員在對該病毒進行初步分析后發現,Flame并不會對計算機硬件造成損害,竊取信息才是其主要目的。感染這種病毒的電腦會在用戶毫不知情的情況下變成竊聽裝置。Flame能調用包括鍵盤、顯示器、麥克風、存儲設備、WiFi、藍牙在內的多種設備,竊取文件、記錄用戶輸入內容或竊聽附近人們的談話。他們初步的技術報告認為,這種病毒使用了5種加密算法和一種特殊的數據存儲格式,在技術上達到了前所未有的層次。

研究人員稱,Flame病毒和Stuxnet病毒以及Duqu病毒較為相似,極有可能受同一群人控制。由于其攻擊對象主要是中東地區的教育和政府機構,普通用戶不必過度擔心。

Flame病毒,可攻擊任何國家,全面了解需10年

說flame可以攻擊任何國家,其實毫不夸張,下面是該病毒感染地區,可見已經感染很嚴重

查看更多...

CentOS下安裝PPTP VPN小記

最近得一臺256的vps,一個月,拿來做站什么的都不至于。首先是配置了lnmp環境放了個dz論壇做測試,最近又剛好用到cloudfoundry,vmc的下載貌似得翻那個什么。這時候就想起了我的小vps了。雖然內存不大,帶寬貌似還是不錯的,主機是百兆的,到每個小雞上面不知道有多少,總知ssh下載還有10Ms的速度呢。因為昨天重裝了n便系統,最終選擇保留了64bit的centos,這樣說,安裝個pptp應該還不錯,因為pptp的vpn只有獨立服務器和XEN的VPS可以搭建(這點網上看到的,個人表示沒有嘗試過,還剛好小子的vps是xen的)。

二話不說直接動工。

pptpd VPN需要內核支持mppe,如果不支持,請聯系你的服務商,或者宣告失敗吧。

首先,在安裝之前,需要檢測服務器是否支持ppp 查看更多...

黑龙江22选5开奖