安全

WebSocket 安全性:8 大漏洞及其解决方法

什么是 WebSocket?

WebSocket 变得越来越流行,因为它们极大地简化了客户端和服务器之间的通信。 

WebSocket 协议使用 OSI 模型应用层(第 7 层)来允许客户端和服务器执行双向(全双工)通信。这使得创建动态、实时的 Web 应用程序(例如即时消息和照片共享应用程序)成为可能。

跨站点请求伪造预防备忘单

介绍

跨站点请求伪造 (CSRF) 是一种攻击,当恶意网站、电子邮件、博客、即时消息或程序导致用户的 Web 浏览器在用户经过身份验证时在受信任的站点上执行不需要的操作时,就会发生这种攻击。CSRF 攻击之所以有效,是因为浏览器请求自动包含所有 cookie(包括会话 cookie)。因此,如果用户通过了站点的身份验证,站点将无法区分合法的授权请求和伪造的经过身份验证的请求。当使用正确的授权时,这种攻击就会被阻止,这意味着需要一个挑战-响应机制来验证请求者的身份和权限。

成功的 CSRF 攻击的影响仅限于易受攻击的应用程序暴露的功能和用户的权限。例如,这种攻击可能会导致资金转移、更改密码或使用用户的凭据进行购买。实际上,攻击者使用 CSRF 攻击使目标系统在受害者不知情的情况下通过受害者的浏览器执行功能,至少在未经授权的交易提交之前是这样。

    

网站安全🔒 再探同源政策,谈SameSite 设置对Cookie 的影响与注意事项

两年前,我有分享过一篇同源政策的文章,讨论两种同源政策对于网站安全的影响,今年以来,由于SameSite设置的推出,对于Cookie是否会送出的「预设条款」 ”出现变化,对许多网页应用程序制作产生影响,也对网络广告制作业产生冲击,

本篇文章将首先以同源政策说明 Cookie 的送出条款,再分享 SameSite 的设置,也会介绍几种情况:iframe 与表单的使用下,SameSite 设置对 Cookie 的影响。许多人经常忽略策略其实际SameSite设置不仅对 Cookie 送出有影响,对其写入也会有影响,另外,也谈到 iOS Safari 实际工作得不一样,最后补充充分开发时要注意的信息安全事项

本篇文章包含
✔ Cookie 同源政策是什么?
注意事项

    

wordpress后台登录url地址是什么,如何更改 WordPress 登录页面地址及限制登录次数

如何找到您的 WordPress 登录网址:

 可以通过在站点 URL 末尾添加 / login /、/ admin / 或/wp-login.php 来访问 WordPress 登录页面。

如果您将 WordPress 安装在子目录 (www.yoursite.com/wordpress/) 或子域 (blog.yoursite.com/) 上,请在 URL 的末尾添加三个路径之一,例如:www.yoursite.com/ wordpress/ wp-login.phpblog.yoursite.com/wp-login.php

使用 webhint 检查与改进您的网站

 

webhint 是一种可自定义的 linting 工具,可通过检查网站的http header和html代码的最佳实践和常见错误来帮助您提高网站的可访问性、速度、跨浏览器兼容性等。

它可以从命令行 (CLI)、通过浏览器扩展、作为 VS 代码扩展以及从在线服务运行。

要从 CLI 使用它,您需要Node.js 在您的机器上安装(v14.x 或更高版本),然后您可以使用npx它来测试它。…

        

Nginx配置IP拦截

最近百家饭团队开源了一个Nginx日志分析工具APIcat,这周在生成报告的基础上,实现了基于Nginx的自动拦截防护,正好研究了一下Nginx配置IP拦截的配置

配置方式

nginx配置ip拦截基本是通过deny和allow两个配置关键字来实现的。可以配置单ip的拦截放行,也可以配置网段的拦截放行,比如:…