和apache等web服务软件一样,rewrite的主要功能是实现URL地址的重定向。Nginx的rewrite功能需要PCRE软件的支持,即通过perl兼容正则表达式语句进行规则匹配的。默认参数编译nginx就会支持rewrite的模块,但是也必须要PCRE的支持。
启用HSTS可以保证自己的网站更稳定的被访问,不被运营商各种干扰,劫持,访问时候加入各种广告。启用HSTS后自然想要加入HSTS Preload List了,这是各大浏览器都遵循的一个强制使用Https访问的网站列表,只要加入到这个列表中,所有的通过浏览器访问请求都会强制走Https,这在很大程度上可以杜绝“第一次”访问的劫持,最大限度地提高Https访问的安全性。
写这篇文章,也是缘于运营的一个需求:在 App 运营过程中,会有大量的推广短信,里面附有链接,目的是引导用户参与活动。如果用户手机没有安装我们的 App 就引导其去下载页,如果用户已经安装了我们的 App 就直接在 App 中打开对应的活动。
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。
1.地址栏中输入 chrome://net-internals/#hsts 2.在 Delete domain security policies 中输入项目的域名,并 Delete 删除 3.可以在 Query domain 测试是否删除成功
使用 Chrome 内核浏览器,包括 Google Chrome,edge,360浏览器等。
所谓短网址就是通过一定的算法把很长的网址得到一个很短的网址,点击这个短网址后会跳转到之前的长网址。
HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页。例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了。在Javascript中,我们可以通过document.referrer来获取同样的信息。通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的。这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的流量的分布情况,还有用户搜索的关键词等,都是通过分析这个referrer信息来获取的。
一、如何查看dom元素的事件 某种情况我们在页面交互上发现一个问题,肯定是非常想知道这个交互触发执行的入口,这会使我们更直接、快速的进行代码的跟踪、调试和分析。其实在chrome浏览器这很简单就实现了
之前使用hexo+GitHub Pages搭建个人博客,同时使用了在腾讯云买了域名,使用了域名解析,将GitHub Pages的访问地址解析到了自己买的域名,在GitHub仓库里面使用了CNAME文件指定域名,如我的lingyejun.com。因此如果需要停止域名解析就需要现在阿里云域名解析那里暂停解析该网址(或者删除,严格来说这一步在这个问题里面其实可以没有,关键是后面的);然后将GitHub仓库里面的CNAME文件删除掉(或者将里面的域名删除,只留空文件);按理说应该就可以了,访问GitHub Pages的访问地址不会再跳转到自己域名了,但是它还是会跳转?
通俗的来说,就是顾客在A站点查看商品数据,加入购物车,下单(订单结账,生成订单信息),然后订单支付部分,跳转到B站点支付。
可能是因为https协议取消的原因,但是大家将https://改成http://时,网站依旧无法访问。
目前搜索谷歌翻译之后点开的结果只能跳转至谷歌翻译页面。 我亲测确实是已经无法访问谷歌翻译。此前域名为translate.google.cn的谷歌翻译已经无法访问,直接跳转至translate.google.com.hk。 此前有媒体询问过Google发言人,他已经通过电子邮件回复具体原因如下:“Google已经停止了Google翻译在中国大陆地区的服务,原因是"因为使用率低"。”
总的来说对于大访问量或多子域名的网站来说,不建议使用裸域。小流量或子域名少的网站的话就看个人爱好了。我挺喜欢裸域的。最近几年流行起来的「单页网页应用」 ( Single Page Web App ) 也是以采用裸域的居多,Twitter 算是一例。
安全涉及的领域很大, 我也仅仅是了解一些皮毛, 每次面试前都要找资料复习, 很麻烦。
今天没有原创文章发了,从乌云知识库里选了一个文章给大家分享一下,不知道这种方式,大家是否能够接我从乌云知识库里选择一些文章给大家分享,请大家给我提出来,我来根据大家的意见来做出变化,毕竟写原创不易,请大家谅解。欢迎大家给我留言,让我知道你们的想法。
2020年10月,美团安全运营平台发现流量中存在恶意JavaScript请求,信息安全部收到告警后立即开始应急处理,通过对网络环境、访问日志等进行排查,最终锁定恶意请求由Chrome浏览器安装恶意插件引起,该恶意JavaScript文件会窃取Cookie并强制用户跳转到恶意色情站点、推广链接等,结合美团威胁情报大数据,发现该插件与Lnkr Ad Injector木马特征吻合。
微信客户端提供了部分Schemes供外部应用跳转进微信客户并执行相关操作,网上有网友总结了一批scheme,但是我试了一下,基本全部都失效了,不过weixin://dl/business/依然坚挺。类似这样的链接地址,可以直接跳转到微信内部,并打开某个网址
阅读tp框架源码过程中,经常被代码绕来绕去,头晕的很(tp框架源码已很久没有更新); 于是想到了phpstorm+xdebug 断点调试,各种配置不成功后,开始记录自己踩坑记录(在老早以前配置过); xdebug断点调试最大的有点就是能像浏览器断点j调试s一样调试php; 上周一个composer的extra参数搞了一两天,实在太忙,一直强调自己一周至少写一篇文章(好像有两周没有更新文章了);
在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HTTPS服务。而第一次的HTTP请求就有可能被劫持,导致请求无法到达服务器,从而构成HTTPS降级劫持。这个问题目前可以通过HSTS(HTTP Strict Transport Security,RFC6797)来解决。 在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HT
语句的意思是:IE8浏览器下,引入my.css文件。其他版本IE浏览器,if判断为flase,则不引入。
本文从黑产攻击方式、木马恶意行为、监控及防御方案等角度对Lnkr木马进行分析,此类木马影响范围较广,攻击手法多样,但目前国内相关的资料却非常稀少,希望本文的实践经验和总结能对从事相关安全检测的同学有所帮助。
近日,自谷歌决定将对所有通过谷歌浏览器(Chrome)隐私浏览模式访问的HTTP网址将一律显示“不安全”的风险提示之后,Mozilla也准备让通过火狐浏览器(Firefox)访问的HTTP网址显示“不
Cookie Injecting Tools 是一款简单的开源cookie利用工具,是Chrome浏览器上开发的一个扩展插件,能够灵活地进行SQL注入测试,编辑以及添加删除COOKIE,界面简洁,易于使用。 1.下载和安装 下载 可以直接下载打包好的CRX文件,源码就包含其中,当然也可以直接下载源码运行 https://github.com/lfzark/cookie-injecting-tools/ 有两种方式 1.1 把.crx改成.rar,这样你就得到一个rar压缩文件,然后右键解压这个压
明月作为一名草根博客站长手机端拥有几个测试网站移动端效果的浏览器是很正常的吧,可就是在前两天入手了红米 5 Plus 后(可参考【新入手 红米 5 Plus 手机一个】一文)开始尝试了 Firefox、Chrome、EDGE、Via、夸克甚至小米原生浏览器都发现有被“劫持”的迹象。
前段时间写了一篇文章介绍了使用python爬虫自动抓取百度site:命令的结果,但那个方案有个问题是不稳定,而且只是判断了是否收录,具体收录了多少个链接不清楚,这无法达到持续关注收录数量是否有增加的目的,于是用selenium写了这个实现方案,可以精准监测收录数量
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关
在如今的HTTPS大当其道的情况下自己的博客要是还没有用上。作为互联网的螺丝钉(码农)岂不是很没面子。
跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。可以分为反射型、存储型、DOM型等,本文主要讲解DOM-XSS漏洞挖掘与攻击面延申。接下来就开门见山,讲解干货吧。
一台服务器可以访问多个网站,每个网站都是一个虚拟主机 概念:域名(主机名)、DNS、解析域名、hosts 任何一个域名解析到这台机器,都可以访问的虚拟主机就是默认虚拟主机
有一个做外贸的朋友发来求助,用 lnmp1.4 安装了 php 环境后,添加了自带的Let’s Encrypt 证书,结果打开域名却看到了 COMODO ECC Domain Validation Secure Server CA 2 这个证书,而且还是一会跳转 https,一会不跳转的,给他搞的很郁闷。 一开始魏艾斯博客也是一头雾水,重新安装了一遍 lnmp1.4,并按照官方教程添加了虚拟主机和 SSL,最后得到的结果还是老样子。后来无意中问了一句:你用的什么 ns 服务,回答说cloudflare,于是
关于“dns-prefetch”预解析还是在偶尔查看源代码时发现的,当时并没有在意,后来发现淘宝京东都有这个标签就自行度娘了,那么这个预解析对我们的网站到底有没有效果呢?别急,咱先了解下什么是DNS Prefetch?
网页的性能,大部分情况下是影响用户使用体验的第一要素,特别是对于很多电商、金融网站,可能几秒的性能提升就意味着更大的转化率和收益。
Step 1——在一两个月前,小黑通过Unicode钓鱼的方式盗取了很多币安账号(下称“肉鸡”)与相对应的API Key,并绑定了自己的自动交易程序(API Key可以理解为绑定自动交易程序所需的密码),以便后续操作。
嗯对,爷不是换域名了吗 xiaolfeng.cn 。告别了 .xyz 的国际域名,转向 .cn 国内域名。 至于我为什么换域名呢,可能是因为 .cn 比 .xyz 高级(可能只是在国内是这样,国际上不一定) 反正我认为就行了,这是我的Blog~
当测试子域名劫持漏洞(subdomain takeover)时,通常需要明白利用劫持域名能做什么,其产生的实际危害和影响有多大。最近,作者就劫持了微软开发者网站子域名project-cascade.visualstudio.com,并利用它实现了针对集成开发环境Azure DevOps账户的一键劫持。一起来看看。
行业越来越卷,卖正规商品转化低,利润低,广告费入不敷出。卖一些高转化,高利润的商品势在必行, 但是近几年对HUI产打击的力度也是非常大,传统的AB站跳转模式(这个模式2010年就存在,已经很多年了)支付渠道商很容易识别,而支持HUI产的支付渠道风险又比较高。
今天,所有使用Google Chrome稳定版的用户迎来了v68正式版首个版本的发布,详细版本号为v68.0.3440.75,上一个正式版v67.0.3396.99发布于6月13日,自Chrome 68起,当在加载非HTTPS站点时,都会在地址栏上明确标记为“Not Secure(不安全)”。
cookie作为辨别用户身份、进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),存储格式如下:
用户反馈页面的一个拖拽行为之后,页面自动跳转到了www.null.com,由于这个平台是运行了很久的稳定版本,一般不太可能出现这样严重的bug,且null.com根本不是内部合法的域名。
作为前端开发,肯定对 Chrome 的 dev tools 不陌生,除了日常 Debug,还提供了一个非常强大的功能:performance 用做性能分析。
copy 函数可以让你在 console 里拿到任意的资源,甚至包括一些变量,在复制一些特别冗长的数据时特别有用,当复制完成后,直接使用 ctrl + v 即可。
DNS(域名系统)的主要功能是将域名解析成IP地址,域名的解析工作由DNS服务器完成。从安全角度来看,域名解析的请求传输时通常不进行任何加密,这导致第三方能够很容易拦截用户的DNS,将用户的请求跳转到另一个地址,常见的攻击方法有DNS劫持和DNS污染。因此,使用不加密的DNS服务是不安全的。
领取专属 10元无门槛券
手把手带您无忧上云