• [问题求助] 网站所有数据丢失了!!!!!!!公司在催,一个晚上所有数据全没了
    整整10页的数据,这可怎么办,我心都碎了
  • [技术干货] nginx开启gzip压缩的完整步骤记录
    Nginx开启Gzip压缩功能,可以使网站的css、js 、xml、html文件在传输时进行压缩,提高访问速度,进而优化Nginx性能,下面这篇文章主要给大家介绍了关于nginx开启gzip压缩的相关资料,需要的朋友可以参考下目录• 前言 • 一、配置gzip压缩 • 二、配置详解 • 三、 重启nginx服务 • 总结  前言开启网站gzip压缩,是一个网站最常用的一个增加访问速度的方式,通过压缩静态资源,从而增加网站的访问速度一、配置gzip压缩• 打开nginx的配置文件• 修改nginx中的gzip配置• 命令1vim /etc/nginx/nginx.conf运行二、配置详解关于gzip配置的详细解释如下123456789101112131415161718192021#是否启动gzip压缩,on代表启动,off代表开启gzip  on;  #需要压缩的常见静态资源gzip_types text/plain application/javascript   application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;  #由于nginx的压缩发生在浏览器端而微软的ie6很坑爹,会导致压缩后图片看不见所以该选项是禁止ie6发生压缩gzip_disable "MSIE [1-6]\.";  #如果文件大于1k就启动压缩gzip_min_length 1k;  #以16k为单位,按照原始数据的大小以4倍的方式申请内存空间,一般此项不要修改gzip_buffers 4 16k;  #压缩的等级,数字选择范围是1-9,数字越小压缩的速度越快,消耗cpu就越大gzip_comp_level 2;  #引导的在/etc/nginx/conf.d目录下所有后缀为.conf的子配置文件include /etc/nginx/conf.d/*.conf;三、 重启nginx服务要想配置生效,记得重启nginx服务123nginx -t  nginx -s reload四、是否启用成功第一种方式查看一个网站是否使用gzip压缩,可以使用如下命令命令1curl -I -H "Accept-Encoding:gzip,deflate" "想要查看的网址"如果出现如下结果则开启成功1Content-Encoding:gzip 第二种方式查看一个网站是否使用gzip压缩,可以通过控制台查看打开响应头中的Content-Encoding选项,如果出现gzip,则开启成功Nginx的Gzip压缩功能虽然好用,但是下面两类文件资源不太建议启用此压缩功能。1) 图片类型资源 (还有视频文件)原因:图片如jpg、png文件本身就会有压缩,所以就算开启gzip后,压缩前和压缩后大小没有多大区别,所以开启了反而会白白的浪费资源。(可以试试将一张jpg图片压缩为zip,观察大小并没有多大的变化。虽然zip和gzip算法不一样,但是可以看出压缩图片的价值并不大)2) 大文件资源原因:会消耗大量的cpu资源,且不一定有明显的效果。转载自https://www.jb51.net/article/233586.htm
  • [行业资讯] Insteon 关闭让其智能家居用户陷入困境
    总部位于加利福尼亚的物联网公司 Insteon 本月突然关闭,导致其智能家居用户无法连接。该公司后来通过电子邮件向客户表示,将解散该公司,并试图出售其资产以偿还债权人。该公司网站上的一份声明称,其陷入了财务困境,并且由于疫情大流行而加剧了问题。因此,它一直在努力寻找一家公司来接管它,并对其产品和技术进行投资。声明称:“这一过程导致多个相关方参与,预计出售将在3月份完成。不幸的是,这笔交易没有实现。因此,该公司于3月份被指派给一家金融服务公司,以优化该公司的资产。”声明称,该公司仍在寻找买家,并向客户和员工道歉。然而,几乎所有Insteon员工似乎都已将Insteon从他们的LinkedIn档案中删除;有些人甚至将其从bios中删除。Insteon是一家生产各种智能家居产品的公司,从集线器到恒温器和插头。它的许多设备都与苹果自己的HomeKit系统兼容,包括旗舰产品Insteon Hub,是苹果HomeKit早期合作伙伴。然而,Insteon服务器的突然关闭意味着所有这些设备都失去了连接能力。该公司还关闭了其用户论坛,并用前述声明替换了其网站上的所有信息。
  • [技术干货] 如何获取设备的sysoid
    开发SND包时,用户需要注册设备sysoid信息。但很多开发者不清楚如何获取sysoid,下面我们就梳理了常见的获取sysoid的方法。sysoid是RFC1213-MIB标准中设定的OID,主要描述设备款型等信息。sysoid和产品款型名称有一一对应的关系,全球唯一。例如,华为设备NE40E-X8A的sysoid对应如下,其中2011代表华为公司编号。       NE40E-X8A         1.3.6.1.4.1.2011.2.62.2.18获取方法:可从https://oidref.com/网站上可以找到,比如通过输入https://oidref.com/1.3.6.1.4.1.9.1进行查找命令行查询,如华为设备一般可以执行display system information查询华为设备可以进入华为公司omsys网站搜索:http://omsys.huawei.com:8080/omsys/index.jspmib browser工具查询
  • [技术干货] CDN流量消耗如流水?教你如何优雅管控CDN流量
    经营一家网站,其中最困扰我们的问题就是源站服务器易崩溃。同样用户基数大的视频网站每天会面临数据请求、传输等方面的问题。网站开启 CDN 加速之后,会将网站内容缓存到 CDN 节点服务器上,这个时候如果有访问的话,就会直接从 CDN 节点服务器返回网站数据,不需要再从源站调取数据,这就解决了源站老是崩溃的问题。 什么是CDN流量? 我们在经营网站时,几乎在各处都会看到CDN这个词,那CDN是什么呢? CDN又称内容分发网络,通俗来讲就是将你主存储(源站)中的文件,复制给各地的存储点(CDN节点),当有用户访问所需资源时,直接从就近的存储点(CDN节点)获取即可。CDN服务缩短了用户查看内容的访问延迟,提高了用户访问网站的响应速度与网站的可用性,解决了网络带宽小、用户访问量大、网点分布不均等问题。 当你的业务开通CDN服务后,你的用户通过浏览器加载网站,客户端下载文件,外部系统请求文件等,通过临时地址的各种访问打开文件都是在消耗 CDN 流量。当然如果是内网访问文件,是不走 CDN 流量消耗的。这样看来,如果用户使用不合理就会导致CDN流速过快,进而造成CDN流量超额较快的情况发生。 那么到底有没有好的办法可以帮助我们减少网站流量开支,降低源站服务器的压力呢? 如何合理管控CDN流量? 当你的站内资源文件没有特殊要求(比如原图),那就需要尽可能的压缩。只有减轻了业务资源的大小,才能够根本的减少流量资源的消耗。同时全站图片全部改成lazyload 滚动加载显示,这个最主要,尤其是内容页调用了大量有缩略图的文章列表,这样用户看不到那,根本就不需要将这部分内容加载出来! 当你的资源变更不是很频繁时,缓存优化是很好的方法;同一个用户、同一份资源尽可能不要请求一次以上,要合理使用客户端的本地缓存能力,将固定的资源全部缓存。当用户再此进入时,直接使用缓存的资源,避免二次请求资源加载造成的流量浪费。 各位 hold 不住 CDN 流量的小伙伴们,还觉得 CDN 消耗如流水?快用以上方法试试看~
  • [技术交流] 网站使用CDN会不会影响收录?
    开通 CDN会不会影响到搜索引擎收录?这点完全不用担心,因为门户站都是采用的CDN加速服务。在百度发布的《搜索引擎优化指南》也可以看到了其中有一项提问是关于CDN的: Baiduspider对站点的抓取方式和普通用户访问一样,只要普通用户能访问到的内容,我们就能抓取到。不管是用什么技术,只要能保证用户能流畅的访问网站,对搜索引擎就没有影响。
  • [问题求助] 萌新做网站,求大神指点
    请问如何把这种模板的右侧导航栏数目减少?
  • [知识分享] 教你轻松解决CSRF跨站请求伪造攻击
    本文分享自华为云社区《[CSRF跨站请求伪造攻击及防御](https://bbs.huaweicloud.com/blogs/348795?utm_source=csdn&utm_medium=bbs-ex&utm_campaign=other&utm_content=content)》,作者: HZDX。 CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 # 什么是CSRF跨站请求伪造 ## CSRF的定义 CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 ## CSRF的分类 - HTML CSRF攻击 - JSON HiJacking攻击 - Flash CSRF攻击 ## CSRF的攻击过程 - 假设用户A登录银行的网站进行操作,同时也访问了攻击者预先设置好的网站。 - 用户A点击了攻击者网站的某一个链接,这个链接是http://www.bank.com/xxx指向银行,银行服务器根据这个链接携带的参数会进行转账操作。 - 银行服务器在执行转账操作之前会进行Session验证,但是由于用户A已经登录了银行网站,攻击者的链接也是www.bank.com,所以攻击的链接就会携带session到服务器。 - 由于session id是正确的,所以银行会判断操作是由本人发起的,执行转账操作。 ## CSRF的攻击条件 - 登录受信任网站A,生成可信的Session - 在不登出A的情况下,访问危险网站B,网站B伪造网站A的请求 # CSRF跨站请求伪造的预防方法 ## 验证 HTTP Referer 字段 HTTP header中包含一个Referer字段,这个字段用于指明http请求的来源地址。当用户进行正常请求时,此Referer字段应该与请求的地址位于同一个域名下(bank.com)。如果是通过CSRF攻击伪造的请求则此Referer应当包含恶意网址的地址(evil.com)。所以通过对Referer来源地址的校验可以识别出伪造的恶意请求。 这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验。但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。 ## 在请求地址中添加token并验证 由于CSRF攻击的本质在于攻击者欺骗用户去访问自己设置的请求,所以如果在请求敏感数据时,要求用户浏览器提供不是保存在cookie中并且攻击者无法伪造的数据作为校验条件,那么攻击者就无法伪造未校验的请求进行CSRF攻击。 服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过表单提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从获取页面信息得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。 ## 在HTTP头中自定义属性并验证 这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。 通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。 # 智能云网 智能云网社区是华为专为开发者打造的“学习、开发、验证、交流”一站式支持与服务平台,该平台涵盖多领域知识。目前承载了云园区网络,云广域网络,数通网络开放可编程,超融合数据中心网络,数通网络设备开放社区共五个场景。为了响应广大开发者需求,还提供了开发者交流、API 体验中心、多媒体课件、SDK工具包、开发者工具以及远程实验室共六大工具,让开发者轻松开发。欢迎各位前来体验。 ![image.png](https://bbs-img.huaweicloud.com/data/forums/attachment/forum/20224/22/1650608552378191331.png)
  • [技术干货] 【历史上的今天】4 月 21 日:微处理器先驱诞生;Winamp 发布;COPPA 正式生效【转载】
    透过「历史上的今天」,从过去看未来,从现在亦可以改变未来。今天是 2022 年 4 月 21 日,在 2006 年的今天,数码资讯网站 IT168 CEO 确认公司已经收购技术社区 ITPUB。宋刚则表示,收购 ITPUB 将有助于 IT168 更好地覆盖企业高端用户。因为 IT168 开始关注高端人群和企业用户,ITPUB 上汇聚了许多企业优秀的技术人才,他们是企业采购的决定者。回顾互联网历史上的 4 月 21 日,这一天还发生过哪些关键事件呢?1950 年 4 月 21 日:微处理器先驱 Wayne Pickette 出生微处理器是二十世纪最伟大的技术进步之一,而众所周知,世界上第一个微处理器 Intel 4004 是由 Faggin、Hoff、Mazor 和 Shima 四位设计者和发明者共同完成的;但是关于微处理器的设想,可能还要更早。英特尔曾经雇佣了一名叫做韦恩·皮克特(Wayne Pickette)的非裔员工,韦恩对 4004 开发的贡献在很大程度上没有得到他的前雇主英特尔的认可。韦恩·皮克特(Wayne Pickette)出生于 1950 年 4 月 21 日,他于 1968 年创建了将计算机放在芯片上的设计,随后他致力于开发第一台微型计算机,是世界上最早使用交换机作为服务器骨干网的工作人员之一。韦恩是一位自学成才的电子工程师,他学生时代的兴趣便是设计一个计算机化的视频系统,用于在电视上共享图书馆资料。1967 年,17 岁的他购买了一台 PDP-8/S 计算机,以便为他的项目进行计算。当时,刚看完科幻作品《我,机器人》的韦恩·皮克特便在设想怎么将所有逻辑功能都放置在单个微芯片上。1968 年 2 月,韦恩向仙童半导体公司展示了他的设计,但该公司以“疯狂”为由拒绝了他的想法。1968 年夏天,失意的韦恩开始在 IBM 工作,即为 IBM 的温彻斯特项目进行逻辑设计;在这个项目中,当今个人计算机中常见的硬盘驱动器得以创建。1970 年春天,韦恩跳槽至英特尔,并提出了自己对计算机的想法架构和小型化的概念,这一次,韦恩再次获得了失败,。回顾 Intel 4004 开发的故事便能知道,这段时期的英特尔正在集中精力开发存储芯片而非逻辑芯片,1969 年 6 月,Busicom 公司的岛正利(Masatoshi Shima)和其他人员一起访问英特尔,探讨了定制芯片组问题,韦恩也在项目组内。但是,英特尔应用部门的负责人特德·霍夫(Ted Hoff)当时很担心英特尔很难生产满足 Busicom 公司的要求,于是到了 1970 年年初,该项目在英特尔内部逐渐停顿。1970 年夏末,韦恩从工程师费德里科·法金(Frederico Faggin)那里了解到 Intel 4001 到 Intel 4004 芯片的情况,此时 Busicom 濒临破产,英特尔管理层放弃了这款产品,而法金一入职便接手了该项目。特德·霍夫邀请韦恩和法金去他家吃饭,三人聊了微处理器的事;霍夫甚至给了韦恩一本名为《未来的冲击》(Future Shock)的书,书中描述了社会对变化的抗拒。随后,当项目组不得不投票“关于是否在 1971 年拉斯维加斯秋季联合计算机会议上推出 4004”时,年仅 21 岁的韦恩急于求成、年少轻狂,成为了唯一一个赞成提前展示 Intel 4004 的人。但在 1970 年年底,4004 芯片正式完成,此时韦恩早已退出了项目组。1971 年 3 月,Busicom 公司终于获得了一套完整的 4000 系列芯片组。在 Intel 4004 之前,唯一放置在集成电路上的是逻辑功能。韦恩是第一个想把算术元件、指令逻辑、时序逻辑和寄存器逻辑,把所有这些不同的 IC 都放在一个芯片上的人。1971 年 11 月,英特尔开始宣传 4004,广告语为:“宣告集成电子设备新时代。”1997 年 4 月 21 日:Winamp 发布Winamp 是一个由 Nullsoft 公司开发的 Windows 与 Android 下的媒体播放器软件,曾被美国在线(AOL)收购,现为 Radionomy 旗下产品之一。Winamp 支持多种媒体格式,支持皮肤更换,支持通过各种插件扩展,同时也具有最基本的播放列表和媒体库功能。Winamp 以其声音效果、播放列表和媒体库功能而出名。随着 MP3 的共享,其知名度迅速增长。Winamp 的作者是 Justin Frankel、Dmitry Boldyrev 和 Shiva Ayyadurai。播放器包含免费版和共享版等版本。1998 年 2 月,Winamp 程序被重写为“通用音频播放器”(General purpose audio player),并采取插件支持构造,评论反馈良好。此后经过快速和多元化的开发,当年 11 月已经开发出 66 个插件,Winamp SDK 甚至能方便开发人员开发出七种不同类型的插件。美国在线于 2013 年 11 月 20 日宣布将于当年 12 月 20 日起关闭 Winamp 的网站,并不再维护和提供下载服务;2014 年 1 月 14 日,Radionomy 自 AOL 手中收购 Winamp 与网站 SHOUTcast,至今仍在运营和更新。2000 年 4 月 21 日:COPPA(儿童在线隐私保护法)生效儿童在线隐私保护法(Children’s Online Privacy Protection Act,简称 COPPA)首次出版于 1998 年 10 月 21 日,主要针对在线收集 13 岁以下儿童个人信息的行为。它详细介绍了网站运营商必须包括的隐私政策,何时以及如何获得父母或监护人同意,以及应尽的责任,运营商必须保护儿童的隐私和安全,包括限制向 13 岁以下的儿童销售。COPPA 于 2000 年 4 月 21 日正式生效。未成年人是特殊群体,在信息化的时代,应当受到特殊保护。未成年人信息数据随意发布、收集和使用的现象能引发许多的思考;尽管 13 岁以下的儿童可以在父母允许的情况下合法地提供个人信息,但许多网站——尤其是社交媒体网站,以及其他收集大部分个人信息的网站——由于成本和所涉及的工作,通常无法贯彻对于未成年人的保护。我国对于未成年人的限制是 18 岁而不是 13 岁,但相对应地也少了许多有力限制,比如当前美国、欧盟和英国都规定了儿童个人信息的收集和使用应当经过其监护人的同意。你对于未成年人的网络隐私有什么看法?你觉得应该做出哪些措施呢?欢迎参与本期评论区,分享你的真知灼见。原文链接:https://blog.csdn.net/Byeweiyang/article/details/124316533
  • [技术干货] 点击劫持攻击及防御
    点击劫持 (Clickjacking) 技术又称为界面伪装攻击 (UI redress attack ),是一种视觉上的欺骗手段。攻击者使用一个或多个透明的 iframe 覆盖在一个正常的网页上,然后诱使用户在该网页上进行操作,当用户在不知情的情况下点击透明的 iframe 页面时,用户的操作已经被劫持到攻击者事先设计好的恶意按钮或链接上。攻击者既可以通过点击劫持设计一个独立的恶意网站,执行钓鱼攻击等;也可以与 XSS 和 CSRF 攻击相结合,突破传统的防御措施,提升漏洞的危害程度。   什么是点击劫持    点击劫持的定义 点击劫持攻击是一种基于视觉欺骗的Web会话劫持攻击,它通过在网页的课件输入控件上覆盖一个不可见的框(iframe),使得用户误以为在操作可见控件,而实际上用户的操作行为被其不可见的框所劫持,执行不可见框中的恶意代码,从而完成在用户不知情的情况下窃取敏感信息、篡改数据等攻击。 点击劫持的分类 Flash点击劫持(Flash ClickJacking),劫持用户的鼠标点击操作。拖放劫持(Drag & Drop Jacking),劫持用户鼠标拖放操作。比如用户使用拖放来完成复制和粘贴的操作。触屏劫持(TapJacking),触屏劫持是智能终端设备的一种劫持方式。智能终端设备一般都没有鼠标、键盘这种输入设备,用户的操作大部分都是依靠手指在触摸屏上的点击或滑动等动作完成的。 点击劫持攻击原理 点击劫持漏洞 (Clickjacking) 是由网络安全专家 Robert Hansen 和 Jeremiah Grossman 在 OWASP (Open Web Application Security Project) 会议上提出的,现场还对该漏洞的危害作了演示。第14届Black Hat大会上,安全专家 Paul Stone 讲解了Clickjacking 的拖拽(Drag-and-Drop)技术,这项技术使黑客的攻击手法更加灵活多变,同时能够突破许多传统的安全防御措施,获取更多的用户信息,增加了Clickjacking 漏洞的危害性。攻击者在点击劫持漏洞利用实现过程中使用 iframe 作为目标网页载体。iframe 是 HTML 标准中的一个标签,可以创建包含另外一个页面的内联框架,在点击劫持漏洞利用中主要用来载入目标网页。 点击劫持攻击步骤 黑客创建一个网页利用iframe包含目标网站;隐藏目标网站,使用户无法察觉到目标网站存在;构造网页,诱骗用户点击特定按钮;用户在不知情的情况下点击按钮,触发执行恶意网页的命令。   点击劫持攻击技术    目标网页隐藏技术 目标网页隐藏技术原理是攻击者在恶意网站上通过 iframe 载入目标网页,然并隐藏目标网页,欺骗用户点击隐藏的恶意链接。目前主要的网页隐藏技术有两种:CSS隐藏技术和双iframe隐藏技术。CSS 隐藏技术的原理是利用 CSS 技术控制网页内容显示的效果。其中opacity参数表示元素的透明度,取值范围为0~1,默认值为1表示不透明, 取值为0时元素在网页中完全透明显示。当设置目标 iframe 的opacity 属性小于或等于0.1,用户就无法看到含恶意代码的目标网页。双iframe隐藏技术使用内联框架和外联框架。内联框架的主要功能是载入目标网页,并将目标网页定位到特定按钮或者链接。外联框架的主要功能是筛选,只显示内联框架中特定的按钮。 点击操作劫持 在成功隐藏目标网页后,攻击者下一个目标是欺骗用户点击特定的按钮,最简单实用的方法是使用社会工程学。例如,将攻击按钮外观设计成类似QQ消息的提示按钮,诱使用户点击从而触发攻击行为。另外一种思路是使用脚本代码以及其他技术增加用户点击特定按钮的概率。主要方法如JavaScript实现鼠标跟随技术、按键劫持 (Stroke jacking) 技术等。 拖拽(Drag and Drop)技术 主流的浏览器都有drag-and-drop API 接口,供网站开发人员创建交互式网页。但是,这些 API 接口在设计时没有考虑很多的安全性问题,导致通过拖拽就可以实现跨域操作。利用拖拽技术,攻击者可以突破很多已有的安全防御措施,利用拖拽技术,攻击者可以轻易将文本注入到目标网页。在实际实施过程中,攻击者欺骗用户选择输入框的内容,完成拖拽操作。另外一种方式是,通过浏览器的 API 接口将 iframe 中的内容拖拽到目标网页的 text area 中,攻击者就可以获得用户网页中存在的敏感信息。   点击劫持漏洞的防御   点击劫持漏洞防御措施可以从两个方面考虑:服务器端防御和客户端防御。服务器端防御主要涉及到用户身份验证,客户端防御主要涉及到浏览器的安全。 服务器端防御 服务器端防御点击劫持漏洞的思想是结合浏览器的安全机制进行防御,主要的防御方法介绍如下。X-FRAME-OPTIONS 机制在微软发布新一代的浏览器Internet Explorer 8.0中首次提出全新的安全机制:X-FRAME-OPTIONS。该机制有两个选项:DENY 和 SAMEORIGIN。DENY表示任何网页都不能使用 iframe 载入该网页,SAMEORIGIN表示符合同源策略的网页可以使用 iframe载入该网页。如果浏览器使用了这个安全机制,在网站发现可疑行为时,会提示用户正在浏览网页存在安全隐患,并建议用户在新窗口中打开。这样攻击者就无法通过 iframe 隐藏目标的网页。 使用 FrameBusting 代码点击劫持攻击需要首先将目标网站载入到恶意网站中,使用 iframe 载入网页是最有效的方法。Web安全研究人员针对 iframe 特性提出 Frame Busting 代码,使用 JavaScript 脚本阻止恶意网站载入网页。如果检测到网页被非法网页载入,就执行自动跳转功能。Frame Busting代码是一种有效防御网站被攻击者恶意载入的方法,网站开发人员使用Frame Busting代码阻止页面被非法载入。需要指出的情况是,如果用户浏览器禁用JavaScript脚本,那么FrameBusting代码也无法正常运行。所以,该类代码只能提供部分保障功能。 使用认证码认证用户点击劫持漏洞通过伪造网站界面进行攻击,网站开发人员可以通过认证码识别用户,确定是用户发出的点击命令才执行相应操作。识别用户的方法中最有效的方法是认证码认证。例如,在网站上广泛存在的发帖认证码,要求用户输入图形中的字符,输入某些图形的特征等。 客户端防御 由于点击劫持攻击的代码在客户端执行,因此客户端有很多机制可以防御此漏洞。升级浏览器最新版本的浏览器提供很多防御点击劫持漏洞的安全机制,对于普通的互联网用户,经常更新修复浏览器的安全漏洞,能够最有效的防止恶意攻击。NoScript 扩展对于Firefox的用户,使用 NoScript 扩展能够在一定程度上检测和阻止点击劫持攻击。利用 NoScript 中 ClearClick 组件能够检测和警告潜在的点击劫持攻击,自动检测页面中可能不安全的页面。   智能云网   智能云网社区是华为专为开发者打造的“学习、开发、验证、交流”一站式支持与服务平台,该平台涵盖多领域知识。目前承载了云园区网络,云广域网络,数通网络开放可编程,超融合数据中心网络,数通网络设备开放社区共五个场景。为了响应广大开发者需求,还提供了开发者交流、API 体验中心、多媒体课件、SDK工具包、开发者工具以及远程实验室共六大工具,让开发者轻松开发。欢迎各位前来体验。>>戳我了解更多<<
  • [技术干货] CSRF跨站请求伪造攻击及防御
    CSRF(Cross-site request forgery)跨站请求伪造,通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。   什么是CSRF跨站请求伪造    CSRF的定义 CSRF(Cross-site request forgery)跨站请求伪造,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。可以这样来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 CSRF的分类 HTML CSRF攻击JSON HiJacking攻击Flash CSRF攻击 CSRF的攻击过程 假设用户A登录银行的网站进行操作,同时也访问了攻击者预先设置好的网站。用户A点击了攻击者网站的某一个链接,这个链接是http://www.bank.com/xxx指向银行,银行服务器根据这个链接携带的参数会进行转账操作。银行服务器在执行转账操作之前会进行Session验证,但是由于用户A已经登录了银行网站,攻击者的链接也是www.bank.com,所以攻击的链接就会携带session到服务器。由于session id是正确的,所以银行会判断操作是由本人发起的,执行转账操作。 CSRF的攻击条件 登录受信任网站A,生成可信的Session在不登出A的情况下,访问危险网站B,网站B伪造网站A的请求   CSRF跨站请求伪造的预防方法    验证 HTTP Referer 字段 HTTP header中包含一个Referer字段,这个字段用于指明http请求的来源地址。当用户进行正常请求时,此Referer字段应该与请求的地址位于同一个域名下(bank.com)。如果是通过CSRF攻击伪造的请求则此Referer应当包含恶意网址的地址(evil.com)。所以通过对Referer来源地址的校验可以识别出伪造的恶意请求。这种办法简单易行,工作量低,仅需要在关键访问处增加一步校验。但这种办法也有其局限性,因其完全依赖浏览器发送正确的Referer字段。虽然http协议对此字段的内容有明确的规定,但并无法保证来访的浏览器的具体实现,亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器,篡改其Referer字段的可能。        在请求地址中添加token并验证 由于CSRF攻击的本质在于攻击者欺骗用户去访问自己设置的请求,所以如果在请求敏感数据时,要求用户浏览器提供不是保存在cookie中并且攻击者无法伪造的数据作为校验条件,那么攻击者就无法伪造未校验的请求进行CSRF攻击。服务器将其生成并附加在窗体中,其内容是一个伪随机数。当客户端通过表单提交请求时,这个伪随机数也一并提交上去以供校验。正常的访问时,客户端浏览器能够正确得到并传回这个伪随机数,而通过CSRF传来的欺骗性攻击中,攻击者无从获取页面信息得知这个伪随机数的值,服务端就会因为校验token的值为空或者错误,拒绝这个可疑请求。 在HTTP头中自定义属性并验证 这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里。通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性,并把 token 值放入其中。这样解决了上种方法在请求中加入 token 的不便,同时,通过 XMLHttpRequest 请求的地址不会被记录到浏览器的地址栏,也不用担心 token 会透过 Referer 泄露到其他网站中去。   智能云网   智能云网社区是华为专为开发者打造的“学习、开发、验证、交流”一站式支持与服务平台,该平台涵盖多领域知识。目前承载了云园区网络,云广域网络,数通网络开放可编程,超融合数据中心网络,数通网络设备开放社区共五个场景。为了响应广大开发者需求,还提供了开发者交流、API 体验中心、多媒体课件、SDK工具包、开发者工具以及远程实验室共六大工具,让开发者轻松开发。欢迎各位前来体验。>>戳我了解更多<<
  • [行业资讯] 哪些网站不会使用CDN?
    ①本地化性质的网站一个网站的主要群体集中在某一个城市或地区,比如本地资讯网站,因为用户主体没有遍布去全国各地,服务器直接放在本地即可,不需要使用CDN。②没流量的网站网站没流量,或者刚刚起步处于建设阶段,没有什么人流量,CDN自然无用武之地。除了以上两种,绝大部分网站都有使用CDN的需求。
  • [行业资讯] 哪些情况推荐使用CDN就是服务?
    如果是作为一个互联网人士,那么一定会听过了解过cdn加速,cdn可以让网站网页速度变快,尤其是越大型的网站那么就更需要cdn加速,那么哪些情况下推荐使用CDN会经常看到有使用cdn加速呢?一般来说以资讯、内容等为主的网站,具有一定访问体量的网站:资讯网站、政府机构网站、行业平台网站、商城等以动态内容为主的网站;论坛、博客、交友、SNS、网络游戏、搜索/查询、金融等,还有一些提供http下载的网站。软件开发商、内容服务提供商、网络游戏运行商、源码下载等有大量流媒体点播应用的网站也是需要使用cdn加速服务的还有就是一些拥有视频点播平台的电信运营商、内容服务提供商、体育频道、宽频频道、在线教育、视频博客等~
  • [问题求助] devops是否主要用于web网站开发
    对于桌面应用,比如开发pc游戏, 对于嵌入式,比如 pos机软件所谓的部署运维如何套用上?   
  • [技术交流] CDN加速靠谱吗?能提高网站访问速度吗?
    CDN加速简单的来说,就是把需要加速的原服务器上数据复制到其他服务器上,现在国内运营商有大量的CDN服务器(缓存服务器)部署在全国乃至全球的各个地区,而且每台服务器带宽资源充足;在用户访问网站内容的时候,通过调度系统将用户的请求引导到离用户接入网络最近的那台服务器上;相对于直接访问了源站,这种方式缩短了用户和内容之间的网络距离,从而达到加速的效果。CDN加速的主要作用就是保证网站的正常访问,及加快网站访问速度和响应速度,防止网站因黑客攻击,DNS解析劫持故障等导致的网站服务器的宕机状况的出现。CDN更是是一个经策略性部署的整体系统,从技术上全面解决由于网络带宽小、用户访 问量大、网点分布不均而产生的用户访问网站响应速度慢的根本原因。   那影响CDN加速效果的因素有那些:1.CDN主要是靠把网站内容缓存到各个节点服务器,不同地区的访问者可以就近访问,起到加速的效果。所以,理论上来讲:你网站里被缓存的内容越多,效果就越好。      2.当用户访问一些没有缓存的内容时,CDN节点会临时去你源站获取,此时,如果到你源站的链路不好的话,就会导致这个过程很慢,体验很差。所以,你源站链路状况也是比较重要的。3.和CDN的服务质量有关。包括它的智能调度、CDN节点链路状况等。推荐使用华为云CDN提高网站访问速度,免费,可部署私有/公有cdn系统;可以实现宕机检测,自动切换ip,分线路/分组解析;同时全天候全网健康度管理,保证较好的服务质量。