概述 Clickjacking是最近新兴的针对WEB前端的攻击手段。它通常使用一个ifream覆盖掉当前页面,欺骗用户点击iframe中的恶意内容。 Likejacking通常是针对社交网站的一种攻击手法,攻击者会欺骗用户去点击一个伪造的图标或按钮。如今攻击者已经研究出了大量的方法,来把官方的按钮模仿的惟妙惟肖。 Clickjacking技术首先是由Jeremiah Grossman 和 Robert Hanson在2008年提出的,而如今这种依附于JS的攻
开发者可以利用 HTTP 响应头来加强 Web 应用程序的安全性,通常只需要添加几行代码即可。本文将介绍 web 开发者如何利用 HTTP Headers 来构建安全的应用。虽然本文的示例代码是 Node.js,但基本所有主流的服务端语言都支持设置 HTTP 响应头,并且都可以简单地对其进行配置。
OpenLiteSpeed是由LiteSpeed Technologies开发和维护的高性能事件驱动的开源Web服务器。 在这篇文章中,我们将看到我们如何使用CyberPanel来启动和运行在OpenLiteSpeed的LSCache和WordPress只需点击几下。
一个非常简单的键盘记录程序,可捕获击键并将其每秒发送到外部页面.JS和PHP代码在归档中提供的PHP。
最近发现了一个网站竟然直接使用iframe引用了全站,包括腾讯云的全站,已经通知了腾讯云的运营,运营的答复是会通过司法途径尝试去解决。个人是不可能这么干了,太麻烦,但是我也联系了该网站所在的网安进行监督处理,不知道是什么结果,有结果了再说吧
关键字:wp2oc fileshare,wordpress媒体存进网盘,网盘作为wordpress图床,owncloud wordpress backend storage
网站前端的用户体验,决定了用户是否想要继续使用网站以及网站的其他功能,网站的用户体验佳,可留住更多的用户。除此之外,前端优化得好,还可以为企业节约成本。那么我们应该如何对我们前端的页面进行性能优化呢?
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关
AMP项目(Accelerated Mobile Pages)是一个开放源代码计划,旨在为所有人打造更好的网络体验。借助该项目,用户可以打造出在各种设备和分发平台上都能始终如一地快速加载且效果出色的精美网站和广告。AMP项目已于2016年2月24日启动,数以千计的开发者成为这个项目的积极参与者。无数的网站现在都有AMP版本的页面,许多开发者正在学习使用AMP——在这里,我们和ytkah一起来学习使用WordPress来使用AMP。
在本节中,我们将解释什么是 clickjacking 点击劫持,并描述常见的点击劫持攻击示例,以及讨论如何防御这些攻击。
FancyBox 是一个 jQuery 图片播放插件,它可以使用类似于 MAC 系统中 “Lightbox” 方式在网页前面浮动显示和播放图片,网页内容,或者其他多媒体内容。
这篇文章最后修改于 2022-06-27 日,距今已有 149 天,请注意甄别内容是否已经过时!
近期,作者发现之前撰写的文章,在外网被各种途径转载,很难进行版权保护。因此,萌生了搭建个人博客网站的想法。
Sandbox(沙盒/沙箱)的主要目的是为了安全性,以防止恶意代码或者不受信任的脚本访问敏感资源或干扰其他应用程序的执行。通过在沙盒环境中运行,可以确保代码的行为被限制在一个安全的范围内,防止其超出预期权限进行操作。
国庆假期结束,这一节准备XSS跨站攻击渗透测试中的利用点,上一节讲了SQL注入攻击的详细流程,很多朋友想要咨询具体在跨站攻击上是如何实现和利用的,那么我们Sinesafe渗透测试工程师为大家详细的讲讲这个XSS是如何实现以及原理。
随着 3G 网络的发展,手机已经成为人们生活中越来越重要的网络终端,越来越多的人开始使用手机来浏览网页,但是很多网站其实并不是适合手机浏览,其中就包括我们大家使用 WordPress 构建的博客。以前我推荐使用 FeedM8 这个服务给博客创建适合手机浏览的版本,但是 FeedM8 毕竟是第三方服务,自己不能做太多的控制,并且还需要让用户记住你在 FeedM8 的地址和用户名,并不是很方便。其实对于 WordPress 博客的用户,我们可以使用 MobilePress 这款 WordPress 插件,让你的博客适合手机浏览,用户只需在手机浏览器中输入你博客的地址即可。
近日,著名硬件黑客Samy Kamkar利用5美元设备打造的黑客工具PoisonTap,只需30秒,就可以攻破设置有任意密码的电脑系统,并实现长期后门安装。PoisonTap不是暴力破解密码,而是绕过密码。 PoisonTap的标配:5美元的树莓派微型电脑Raspberry Pi Zero、USB适配器、内置免费漏洞利用软件。 目前,相关软件和利用工具已在Github提供下载,Raspberry Pi Zero在某宝上也有售卖,感兴趣的童鞋可以尝试打造属于自己的PoisonTap神器。 以下为Poiso
近期WordPress安全事件最近频发,上次出了一个恶意软件SoakSoak,现在又来了一个与其有关的恶意软件感染事件——WPcache-Blogger。这场事件由一个被恶意软件控制的网站wpcache-blogger.com命名,虽然同样由于RevSlider漏洞引起,但是攻击手法迥异。在过去几天里,已有5万Wordpress网站受到影响。 FreeBuf小科普 RevSlider是一款WordPress幻灯片插件,攻击者可能利用了该插件的任意文件下载漏洞获取了大量的WordPress的wp-conf
这篇文章英文原文发表于Smashing Magazine,感谢小影 的为我们带来的全文翻译。内容上讲解比较通俗易懂,非常适合初学者。 几个月前,我做了一个实验,看看在 2 小时内我可以为自己的网站提升多少速度。在安装了几个 WordPress 插件和修复了一些简单的错误后,我把网站的载入速度从 1.61 秒提升到了 583 毫秒。这可是足足 70.39% 的速度提升,且无需对网站的视觉做出任何更改。 根据 Akamai 在 2009 年的研究,47% 的访客希望页面在 2 秒内加载完,并且有 57% 的访客
如果您是 WordPress 新手,您可能需要知道如何清除缓存。如果您不熟悉该术语,清除缓存只是一种从网站临时存储中删除材料和数据的方法。如果您进行了任何修改,您将知道您获得的是最新的材料或数据。
最近远程协助用户解决了浏览器的 NET::ERR_CERT_DATE_INVALID 异常,过程中了看到了这篇总结的不错的英文文章,遂翻译了与大家共享。
WordPress 生成的前台页面,默认是可以被其他网页通过 Frame 方式嵌入的,这样对用户存在安全隐患,如果不想被其他网页嵌入,如何设置呢?
让我们接着上节的内容,继续探讨。建议读者先阅读第一部分,这将有助于理解本节的内容。
原本之前还有篇ruby的,拖得时间有点久了,同时本身没想过去过多接触ruby,所以暂且就不再祸害那篇文章了,有兴趣的可自己去看Creating a Ruby DSL: A Guide to Advanced Metaprogramming,以下为本文的英文原文链接:
18个网站优化技巧 快速的页面加载对提升搜索引擎排名、网站转化率和整体的用户体验是非常重要的。网站页面的加载速度也是衡量网站性能的一个重要因素。 如果网站不是以最好的性能在运行,迟缓的加载会让
当你的网站上了 HTTPS 以后,可否觉得网站已经安全了?这里 提供了一个 HTTPS 是否安全的检测工具,你可以试试。
HTTP首部用来规定封装的包应该转往何处,接收方应该如何处理此包。首部内容决定了接受方如何处理被发送的内容,有些首部字段是必需的,有些首部字段是可选的,而有些首部字段是为了提供额外信息而用的
Promise本身是同步的立即执行函数, 当在executor中执行resolve或者reject的时候, 此时是异步操作, 会先执行then/catch等,当主栈完成后,才会去调用resolve/reject中存放的方法执行,打印p的时候,是打印的返回结果,一个Promise实例。
防抖(debounce):触发高频事件 N 秒后只会执行一次,如果 N 秒内事件再次触发,则会重新计时。类似王者荣耀的回城功能,你反复触发回城功能,那么只认最后一次,从最后一次触发开始计时。
我们在做wordpress速度优化时总可以发现很多插件都提供了css/js合并功能。那么我们真的需要启用这个功能吗?
WordPress 用户最头疼的问题就是站点白屏打不开了,或者后台进不去了,这就是 WordPress 的致命错误,英文是 White Screen of Death(白屏错误),简称:WSoD。
WordPress博客的加速可以说是老生常谈了,在这里我分享一下我博客的分享技术。 我采用的加速技术主要是wordpress的缓存插件,动静分离和腾讯云CDN。
当我们说“前端安全问题”的时候,我们在说什么 “安全”是个很大的话题,各种安全问题的类型也是种类繁多。如果我们把安全问题按照所发生的区域来进行分类的话,那么所有发生在后端服务器、应用、服务当中的安全问
研究哪些 JavaScript 引擎在你的用户群中占主导地位,然后探索对其进行优化的方法。例如,当针对 Blink 浏览器、Node.js 运行时和 Electron 中使用的 V8 进行优化时,请使用脚本流[2]来处理整体脚本。
WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站,也可以把 WordPress当作一个内容管理系统(CMS)来使用。
WP Fastest Cache 是一个多功能缓存插件,通过创建HTML文件来帮助减少您网站的页面加载时间,由于 WordPress 网站是通过 PHP 和 MySQL数据库呈现的,因此每次从服务器请求页面时都需要使用 RAM 和 CPU,会减慢加载时间,并在用户的计算机或设备以及数据库上投入更多精力。但是,使用缓存系统,页面会呈现一次,然后存储为静态 HTML 文件,从而减少每个新访问者的加载时间。
这里需要注意的是在async1中await后面的Promise是没有返回值的,也就是它的状态始终是pending状态,所以在await之后的内容是不会执行的,包括async1后面的 .then。
该声明位于文档中最前面的位置,处于html标签之前,此标签告知浏览器文档使用哪种HTML或者 XHTML规范。
有时候我们低头,是为了看准自己走的路,很多人认为,自己已经过得还可以,不愿意去尝试新鲜的事物,很多东西都放不下,拉不下这个脸,最终死在面子上。
如今,搭建网站已经变得非常简单,这主要得益于开源的CMS建站系统的兴起。即使是不懂编程的人也能轻松搭建自己的网站,这些CMS系统提供了丰富的主题模板和插件,使用户可以通过简单的拖放和配置操作来建立自己的网站。
如果你的网站上面有很多第三方JS代码,那么“下载速度的不可控”很有可能导致你的网站会被拖慢。因为JS在执行的时候会影响到页面的DOM和样式等情况。浏览器在解析渲染HTML的时候,如果解析到需要下载文件的script标签,那么会停止解析接下来的HTML,然后下载外链JS文件并执行。等JS执行完毕之后才会继续解析剩下的HTML。这就是所谓的『HTML解析被阻止』。浏览器解析渲染页面的抽象流程图如下:
今天上午没出去,重新折腾了一下,把另外的一个域名h4ck.ws绑定到了blog上。绑定多个域名的方法网上介绍的也比较多,这里我使用的是最简单的PS WP Multi Domain插件,直接从插件页面搜索安装插件即可。现在可以同时使用h4ck.org.cn和h4ck.ws来访问本博客了。同时修改了一下Google Friend Connect小插件,让这个东西在两个域名下可以同时访问。说白了方法挺简单的,就是另外创建了一个独立的页面,挂载到原来的域名下,在网页中嵌入GFC的地方直接使用iframe页面嵌入即可。但是由于这个GFC动态创建的,没有固定大小,现在使用的是固定大小的方法,显示效果并不是很好。如果谁有更好的办法还望不吝赐教。
从网站开发者的角度来看,第三方JS相比第一方JS有如下几个不同之处: 下载速度不可控 JS地址域名与网站域名不同 文件内容不可控 不一定有强缓存(Cache-Control/Expires) 如果你的网站上面有很多第三方JS代码,那么“下载速度的不可控”很有可能导致你的网站会被拖慢。因为JS在执行的时候会影响到页面的DOM和样式等情况。浏览器在解析渲染HTML的时候,如果解析到需要下载文件的script标签,那么会停止解析接下来的HTML,然后下载外链JS文件并执行。等JS执行完毕之后才会继续解析剩下
Flex是FlexibleBox的缩写,意为"弹性布局",用来为盒状模型提供最大的灵活性。任何一个容器都可以指定为Flex布局。行内元素也可以使用Flex布局。注意,设为Flex布局以后,子元素的float、clear和vertical-align属性将失效。采用Flex布局的元素,称为Flex容器(flex container),简称"容器"。它的所有子元素自动成为容器成员,称为Flex项目(flex item),简称"项目"。容器默认存在两根轴:水平的主轴(main axis)和垂直的交叉轴(cross axis),项目默认沿水平主轴排列。
原文:https://www.figma.com/blog/how-we-built-the-figma-plugin-system/
关于 WordPress 的加速优化几乎都是个老生常谈的话题了,今天明月再给大家分享一个加速 WordPress 的方法,这个方法是基于 Nginx 的 Web 缓存方式。Web 缓存是指一个 Web 资源(如 html 页面,图片,js,数据等)存在于 Web 服务器和客户端(浏览器)之间的副本。缓存会根据进来的请求保存输出内容的副本;当下一个请求来到的时候,如果是相同的 URL,缓存会根据缓存机制决定是直接使用副本响应访问请求,还是向源服务器再次发送请求。Nginx 的 Web 缓存一般推荐 FastCGI 方式,另外还有一个叫 Proxy 方式,两者的缓存效率大同小异,今天以 FastCGI 方式为主给大家分享一下。
一般来说,在html页面底部 (也就是</body>之前)引入JavaScript,如jQuery 和 jQuery插件是个不错的做法。原因很简单,HTTP / 1.1规范表明浏览器不能并行下载两个以上的组件。
对于JSON数据,可以很容易的获取。不过在结合Android的WebView后会存在一个很严重的问题。
领取专属 10元无门槛券
手把手带您无忧上云