今年年初,我终于决定将自己的网站从基于 PHP 的 CMS 移植到基于 JavaScript 的静态网站生成器(SSG)了。原因如下:
本号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如有侵权请联系小编处理。
在本节中,我们将描述什么是 DOM ,解释对 DOM 数据的不安全处理是如何引入漏洞的,并建议如何在您的网站上防止基于 DOM 的漏洞。
Web Storage 最早是网页超文本应用技术工作组(WHATWG,Web Hypertext Application Technical
从事 Web 开发已有近17个月;在学以致用的工作学习里,对于不怎么使用的部分,多少有些雾里探花的窘迫感~差不多是了解一二,然而又非真切的明晰;这就使得再用的时候,总要去再搜索一番;如此颇为难受,倒不如总结纪录下来,一方面加深认知,也易便于查阅;对于某相关技术,不断学习、运用、总结、更新,积淀过后也能对别人给予帮助。写博,真是一件值得去做的事。 背景 在HTTP协议的定义中,采用了一种机制来记录客户端和服务器端交互的信息,这种机制被称为cookie,cookie规范定义了服务器和客户端交互信息的格式、生
优化您在网站上提供的用户体验对于任何在线业务的成功都至关重要。谷歌确实使用不同的用户体验相关指标来为 SEO 对网页进行排名,并继续提供多种工具来衡量和提高网络性能。
如果您是一名开发人员,则只是学习编码而希望专注于Web开发,但对走上哪条道路感到困惑。是前端Web还是后端Web开发,或者您是否已经开始了自己的旅程,并且在质疑您是否走上了正确的道路?这将是一篇不错的文章,供您阅读。在开始时,对前端和后端Web开发都有很好的了解是很重要的。
绝招!我仅靠改善一个指标就提升了首页的核心网页生命力指标,你知道是什么指标吗?没错,正是首字节传输时间 (TTFB)!通过两处微调数据抓取的方式,我成功地将 p75 TTFB 从令人抓狂的 3.46 秒降低到仅仅 704 毫秒。在这篇文章中,我将分享我是如何发现问题的,如何修复问题,以及在此过程中做出的重要决策。(别担心,我也会解释一下 “p75” 和 “TTFB” 的意思!)
今天看到一篇cookie的文章,写的特别详细,感谢 晚晴幽草轩 的分享,原文链接http://mp.weixin.qq.com/s/NXrH7R8y2Dqxs9Ekm0u33w 原文如下,记录到此供以后查阅并希望好文章能被更多需要的人看到 背景 在HTTP协议的定义中,采用了一种机制来记录客户端和服务器端交互的信息,这种机制被称为cookie,cookie规范定义了服务器和客户端交互信息的格式、生存期、使用范围、安全性。 在JavaScript中可以通过 document.cookie 来读取或设置这些信息
DOM型和反射性都是通过诱导用户点击链接执行,并且都是临时型的,但是反射型属于服务端安全漏洞而DOM型属于客户端安全漏洞
当我们考虑如何构建一个新的网络应用—一个为现代浏览器设计的、具有用户对Facebook(我们已知的)所有期望的功能,我们现有的技术栈无法支持我们所需要的类似于桌面应用的感觉和性能。完全重写是非常罕见的,但在这种情况下,由于过去十年来Web技术发生了很多变化,我们知道这是我们实现性能和未来可持续发展目标的唯一途径。今天,我们就分享一下我们在重构Facebook.com时的经验教训,使用React(一种用于构建用户界面的声明式JavaScript库)和Relay(React的GraphQL客户端)来重构Facebook.com。
从事 Web 开发已有近17个月;在学以致用的工作学习里,对于不怎么使用的部分,多少有些雾里探花的窘迫感~差不多是了解一二,然而又非真切的明晰;这就使得再用的时候,总要去再搜索一番;如此颇为难受,倒不如总结纪录下来,一方面加深认知,也易便于查阅;对于某相关技术,不断学习、运用、总结、更新,积淀过后也能对别人给予帮助。写博,真是一件值得去做的事。
大多数的大型网站采用服务器端编程来在需要的时候动态展示不同的信息,这些信息通常会从服务器上的数据库中取出,然后发送给客户端,并通过一些代码(比如 HTML 和 Javascript)展示在客户端。
当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。
浏览器提供了各种持久化数据的解决方案。当存储令牌时,您应该权衡存储选择与安全风险。
想在互联网上做个踏实的人,而不是个喷子,喜欢技术,所以会一直更,哪怕因为各种不可抗击的因素而不得不降低频率,学习是自己的事,不管在哪,不论干啥,付出总有回报,早晚的事,目前的技术属于第一波,互联网扫盲的,所以不会讲太深,但是会提供无极君精心挑选的资源,有兴趣自己研究的可以沿着每次推文提供的思路,往深坑走下去,每个大牛都是这么走过去的,我没走完,所没毕业,所以菜。
HTTP协议是纯文本协议,没有任何加密措施。通过HTTP协议传输的数据都可以在网络上被完全监听。如果用户登陆时将用户名和密码直接明文通过HTTP协议传输过去了,那么密码可能会被黑客窃取。 一种方法是使用非对称加密。GET登陆页面时,将公钥以Javascript变量的形式暴露给浏览器。然后用公钥对用户的密码加密后,再将密码密文、用户名和公钥一起发送给服务器。服务器会提前存储公钥和私钥的映射信息,通过客户端发过来的公钥就可以查出对应的私钥,然后对密码密文进行解密就可以还原出密码的明文。 为了加强公钥私钥的安全性,服务器应该动态生成公钥私钥对,并且使用后立即销毁。但是动态生成又是非常耗费计算资源的,所以一般服务器会选择Pool方法提供有限数量的公钥私钥对池,然后每隔一段时间刷新一次Pool。
Axios,作为广泛应用于前端开发中的一个流行的HTTP客户端库,因其简洁的API和承诺(promise)基础的异步处理方式,而得到了众多开发者的青睐。然而,近期在安全社区中,Axios被报告存在一个重要漏洞,该漏洞涉及其对跨站请求伪造(CSRF)保护机制的处理。
我们在爬虫作业的时候,经常会遇到HTTP返回错误代码,那这些错误代码代表了什么意思呢?爬虫作业的时候又该如何避免这些问题,高效完成我们的项目?
不想在你朋友讨论 Web 前端开发时感到一头雾水?今天海海给大家带来了 60 个 Web 前端开发的术语,看看你知道的有多少。以下列表是按照字母顺序排列的:
不,我们不是在谈论世界上所有美好的、巧克力的和含糖的东西的来源...。 它是由互联网服务器发送至浏览器的数据。每次浏览器访问同一台服务器时,它都会将数据发送回来,作为跟踪它如何(以及如何经常)访问该服务器的一种手段。
在 之前文章,我们分析了网站在基本工作原理,包括客户端(您的计算机)和服务器(响应客户端网站请求的另一台计算机)之间的交互。
HTTP Cookie(也叫Web Cookie或浏览器Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。
在本文中我们将主要研究目前主要的BaaS平台的功能,以及Google,Facebook,Apple等互联网巨头在BaaS领域的动作。同时我们也会关注国内一些主流BaaS平台的发展以及国内互联网巨头如百度,华为等在BaaS领域的投入发展。
大家有时候有没有仔细想过,我们开发一个网站,本质上是在做什么呢?Web 开发从刀耕火种的 HTML 时代,到现代的 Web 开发模式,巨鲸发生了怎么样的演变呢?我今天就带大家开一起看一下 ~
完整高频题库仓库地址:https://github.com/hzfe/awesome-interview
安全问题的分类 按照所发生的区域分类 后端安全问题:所有发生在后端服务器、应用、服务当中的安全问题 前端安全问题:所有发生在浏览器、单页面应用、Web页面当中的安全问题 按照团队中哪个角色最适合来修复安全问题分类 后端安全问题:针对这个安全问题,后端最适合来修复 前端安全问题:针对这个安全问题,前端最适合来修复 综合以上 前端安全问题:发生在浏览器、前端应用当中或者通常由前端开发工程师来对其进行修复的安全问题 浏览器安全 同源策略 是一种约定,是浏览器最核心也最基本的安全功能,限制了来自不同源的docum
企业使用网站分析工具(Web Analytics Tool)时,总希望其能毫发无遗地收集每一笔数据,从而准确地衡量任一性能指标。但很多时候,他们会发现工具所提供的数据和内部营销数据库并不完全匹配。尤其在网站流量或表单提交量较低时,即使再微小的差值也显得尤为明显。这与工具无关,当我们使用不同的网站分析工具对同一个网站进行监测时,同样会发现其各自结果存在差异。
用户直接与之交互的网站部分称为前端。它也称为应用程序的“客户端”。它包括用户直接体验的所有内容:文本颜色和样式、图像、图形和表格、按钮、颜色和导航菜单。HTML,CSS和Javascript是用于前端开发的语言。打开网站、Web 应用程序或移动应用程序时在浏览器屏幕上看到的所有内容的结构、设计、行为和内容由前端开发人员实现。响应能力和性能是前端的两个主要目标。开发人员必须确保网站是响应式的,即它在所有尺寸的设备上正确显示,无论屏幕大小如何,网站的任何部分都不应表现异常。
XSS攻击,又称为CSS(Cross Site Scripting),由于CSS已经被用作层叠样式表,为了避免这个冲突,我们将Cross缩写成X。XSS攻击的中文名叫做跨站脚本攻击。其中需要注意的是跨站,简单的说,一个网站运行的逻辑都应该来自于本站,也就是说,是我们自己网站的东西才能在网站上运行,那么如果我们的网站中运行了其他网站的东西,此时我们就称为跨站脚本攻击。
我在没有接触互联网这个行业的时候,就一直好奇网站是怎么构建的。我现在虽然从事互联网相关的工作,但是也一直没有接触过Web开发之类的东西,不过兴趣终归还是要有的,还要自己动手去实践的。Web开发的途径有好多种,比如传统的.Net,还有Java。
JavaScript JavaScript是网络上最常用也是支持者对多的客户端脚本语言。它可以收集用户的跟踪数据,不需要重载页面直接提交表单,在页面嵌入多媒体文件,甚至运行网页游戏。 我们可以在网页
当你在浏览网站的时候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择,
在2月21,我们分享了一篇 http 与 https 的技术文章,让我们具体了解到其中所包含的 密钥交换算法 过程以及实现方法。今天呢,我们就在网络服务的基础上,谈谈 Cookie ,讲解很细致,喜欢的伙伴可以收藏。
sql注入是就是通过把SQL语句插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
JavaScript 的日益发展带来了很多变化,当今的 Web 开发面貌已经变得截然不同。在几年前是很难想象在服务器上运行 JavaScript 的。
在客户端存储数据 HTML5 提供了两种在客户端存储数据的新方法:localStorage - 没有时间限制的数据存储;sessionStorage - 针对一个 session 的数据存储之前,这些都是由 cookie 完成的。但是 cookie 不适合大量数据的存储,因为它们由每个对服务器的请求来传递,这使得 cookie 速度很慢而且效率也不高。在 HTML5 中,数据不是由每个服务器请求传递的,而是只有在请求时使用数据。它使在不影响网站性能的情况下存储大量数据成为可能。对于不同的网站,数据存储于不同
一个完整的域名由二个或二个以上部分组成,各部分之间用英文的句号”.”来分隔,最后一个”.”的右边部分称为顶级域名(TLD,也称为一级域名),最后一个”.”的左边部分称为二级域名(SLD),二级域名的左边部分称为三级域名,以此类推,每一级的域名控制它下一级域名的分配。定义是这样的,在域名中包含两个点的,就叫二级域名,只包含一个点的,就是一级域名。
在Web开发中,有太多的缩写和首字母缩略语,很难理解上。SSR会影响我的CWV吗?要创建REST API需要多少HTTP方法?SPA使用CSR吗?我真的需要CPR!
都听过 10x 工程师,一个人顶得过十个人。但是并不是每个人都是 10x 工程师,但是有些效率工具可能让你变成 2x、3x 的工程师。比如,这周火爆的 3D 游戏引擎 FlaxEngine 有着强大的脚本和即开即用的功能特性,极简只有 2.3 kb 的 JS 工具库 nuejs,还有网页版的 whisper-turbo 快速搞定你的语音问题。
跨站脚本攻击,英文全称是 Cross Site Script,本来缩写是CSS,但是为了和层叠样式表(Cascading Style Sheet,CSS)有所区别,所以在安全领域叫做“XSS”。
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。
Node简介 根据官方文档可以知道,node就是一个给予谷歌v8引擎的一个javascript的运行时,可以理解为运行js的一个虚拟机。他使用的是一个 事件驱动,非阻塞I/O模型 ,他是将js的运行环境搬到了服务器端,和客户端没有一点关系。是一个纯服务端的东西,node只是为js提供了一个平台。node里面其实还分了两块,一是封装了v8引擎,目的是为了执行es(如定义变量,定义函数等),另外一个提供了大量的工具库,是帮助node实现各种功能的,提供了一些以前js的环境办不到的事情,比如文件操作,网络操作,操
Ajax 即” Asynchronous Javascript And XML”(异步 JavaScript 和 XML),是指一种创建交互式网页应用的网页开发技术。
“2022 年已经到来,我们是时候反思 Web 开发中的种种过时软件、炒作歪曲和荒谬趋势了。把握这一年,我们也该重新专注于性能与技术运用,把手段和目的重新统一起来。当然,我不是劝大家用汇编或者 C 语言搞 Web 开发,但关于 JavaScript、Ruby on Rails、Python、Django 以及 PHP 框架的疯狂观点也该消停一下了。”
为了让用户的 windows 系统与其他 microsoft 产品能够更安全,更稳定,因此 microsoft 会不定期在网站上推出最新的更新程序供用户下载与安装,而用户可以通过以下方式来取得这些程序:
超文本传输协议,HTTP是基于B/S架构进行通信的,而HTTP的服务器端实现程序有httpd、nginx等,其客户端的实现程序主要是Web浏览器,例如Firefox、InternetExplorer、Google chrome、Safari、Opera等
RFC 6265定义了 cookie 的工作方式。在处理 HTTP 请求时,服务器可以在 HTTP 响应头中通过HTTP Headers Set-Cookie 为客户端设置 cookie。然后,对于同一服务器发起的每一个请求,客户端都会在 HTTP 请求头中以字段 Cookie 的形式将 cookie 的值发送过去。也可以将 cookie 设置为在特定日期过期,或限制为特定的域和路径。
领取专属 10元无门槛券
手把手带您无忧上云