In this post, I dissect a common misconception about the SameSite
cookie attribute and I explore its potential impact on Web security.
TL;DR¶
- The
SameSite
cookie attribute is not well understood. - Conflating site and origin is a common but
记录-交流-Web开发知识分享
JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
让我们来假想一下一个场景。在A用户关注了B用户的时候,系统发邮件给B用户,并且附有一个链接“点此关注A用户”。链接的地址可以是这样的
|
|
上面的URL主要通过URL来描述这个当然这样做有一个弊端,那就是要求用户B用户是一定要先登录的。可不可以简化这个流程,让B用户不用登录就可以完成这个操作。JWT就允许我们做到这点。
一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
我们先将上面的添加好友的操作描述成一个JSON对象。其中添加了一些其他的信息,帮助今后收到这个JWT的服务器理解这个JWT。
|
|
不知不觉也写得比较长了,一次看不完建议收藏夹!本文主要解释与请求状态相关的术语(cookie、session、token)和几种常见登录的实现方式,希望大家看完本文后可以有比较清晰的理解,有感到迷惑的地方请在评论区提出。
众所周知,http 是无状态协议,浏览器和服务器不可能凭协议的实现辨别请求的上下文。…
In this post, I dissect a common misconception about the SameSite
cookie attribute and I explore its potential impact on Web security.
SameSite
cookie attribute is not well understood.此页面面向正在寻找有关是否在其规范网站 URL 中使用 www 的信息的网站管理员。
首先,一些术语。不带的域名www
有时被称为裸域,我将在这里引用它。…
Mercure是一种用于实时通信的开放协议,旨在快速,可靠和节省电池。它是Websocket API和依赖它的高级库和服务的一种现代便捷的替代方法。
Mercure在将流和异步功能添加到REST和GraphQL API时特别有用。由于它是HTTP和SSE之上的薄层,因此现代Web浏览器,移动应用程序和IoT设备都原生支持Mercure 。…
http://data.iana.org/TLD/tlds-alpha-by-domain.txt
互联网号码分配局(IANA)官方的目前所有顶级域名(TLD)的列表,共有1508个。如果排除国家和地区的 TLD,则为1260个。
…
性能优化相关的文章其实网上挺多,但是大部分都是在讲如何优化性能,也就是讲方法论。但是在实际工作中,如何量化性能优化也是相当重要的一环。今天本文会介绍谷歌提倡的七个用户体验指标(也可以认为是性能指标),每个指标分别根据以下几点讲解:
首次绘制,FP(First Paint),这个指标用于记录页面第一次绘制像素的时间。
首次内容绘制,FCP(First Contentful Paint),这个指标用于记录页面首次绘制文本、图片、非空白 Canvas 或 SVG 的时间。
这两个指标看起来大同小异,但是 FP 发生的时间一定小于等于 FCP,如下图是掘金的指标:
一句话概括就是:OCSP 是server 把自己的站点证书和中间证书以及根证书打包一起下发到客户端,省去客户端查询的过程。
OCSP实时查询会增加客户端的性能开销。因此,可以考虑通过OCSP stapling的方案来解决:OCSP stapling是一种允许在TLS握手中包含吊销信息的协议功能,启用OCSP stapling后,服务端可以代替客户端完成证书吊销状态的检测,并将全部信息在握手过程中返回给客户端。增加的握手信息大小在1KB以内,但省去了用户代理独立验证吊销状态的时间。
启用OCSP stapling的方式有很多种,比如在线校验。此方式需要支持服务器能够主动访问证书校验服务器才能生效,并且在每次重启nginx的时候会主动请求一次,如果网络不通会导致nginx启动缓慢。…
近期评论