在嵌入到我们的生产级站点之前，我如何使用API密钥浏览Body Labs的Blue？ - 腾讯云开发者社区

文章/答案/技术大牛

发布

CVE-2022-21703：针对 Grafana 的跨域请求伪造

在撰写本文时，我们还没有机会审查 Grafana 的修复程序，但无论您的配置如何，它都应该可以保护您免受 CVE-2022-21703 的侵害。...考虑在反向代理级别阻止针对您的 Grafana 实例的所有跨域请求；不过，我意识到这并非在所有情况下都是可能的。...许多从业者仍然以这种方式使用 CSRF，经常忽略SameSitecookie 属性只是作为一种纵深防御机制，它对跨域、同站点攻击无能为力。我在我之前的一篇博文中写了大量关于这个主题的文章....注意：我将在 Grafana Labs 禁运结束后的 24 小时内添加 PoC 视频。不服气？¶ 这种本地概念证明可能不足以让您相信攻击在更现实的场景中的可行性。...在向 Grafana 报告我们的发现之前，我们决定深入挖掘并检查Grafana 的代码库，以了解究竟发生了什么。

2.9K3 0

2022 年前端大事记

例如：在站点 A 中通过 iframe 嵌入了一个站点 C，正常情况下如果三方 Cookie 被禁用后，C 是无法在 A 站点访问到它的 Cookie 的。...它只会在站点 A 中通过 iframe 嵌入站点 C 时才会生效，浏览器会判定只会在顶级站点为 A 时才发送该 Cookie。...当用户访问一个新站点时，例如站点 B，如果也它通过 iframe 嵌入了站点 C，这时在站点 B 下的站点 C 是无法访问到之前在 A 下面设置的那个 Cookie 的。...了解更多：如何控制Web资源加载的优先级？...之前我们一般都是用 History API 去实现的。

1.8K5 0

您找到你想要的搜索结果了吗？

是的

没有找到

Zabbix告警分析新革命：DeepSeek四大创新场景助力智能运维

实际测试显示，调用API 30次仅消耗约20,000 tokens，费用约为0.1元，性价比非常高。申请后，请务必妥善保管您的API密钥。...& cp blue-theme.css blue-theme.css.bak vi /usr/share/nginx/html/assets/styles/blue-theme.css 然后，在文件末尾添加...: auto; /* 当内容超出设定高度时显示滚动条 */ } 保存退出编辑器后，清除浏览器缓存，重新加载页面，最终显示如下： ② 执行一键分析脚本后输出反应慢如何优化？...Webhook 地址和 DeepSeek API 密钥替换为您的实际值： #!...这些应用场景的集成不仅可以提高故障诊断的速度与准确性，还能有效缓解运维团队的工作压力。智能化监控与分析的应用，使我们在面对复杂且多变的IT环境时能够迅速响应并解决问题，从而确保系统的高可用性和稳定性。

1.5K1 1

Zabbix告警分析新革命：DeepSeek四大创新场景助力智能运维

实际测试显示，调用API 30次仅消耗约20,000 tokens，费用约为0.1元，性价比非常高。申请后，请务必妥善保管您的API密钥。...blue-theme.css blue-theme.css.bakvi /usr/share/nginx/html/assets/styles/blue-theme.css然后，在文件末尾添加：#execution-output.../}保存退出编辑器后，清除浏览器缓存，重新加载页面，最终显示如下：② 执行一键分析脚本后输出反应慢如何优化？...Webhook 地址和 DeepSeek API 密钥替换为您的实际值：#!...这些应用场景的集成不仅可以提高故障诊断的速度与准确性，还能有效缓解运维团队的工作压力。智能化监控与分析的应用，使我们在面对复杂且多变的IT环境时能够迅速响应并解决问题，从而确保系统的高可用性和稳定性。

1.4K1 1

【CSS】357- 坚定地使用 CSS Custom Properties

之前借助 LESS 或者 Sass 这样预处理工具在样式中使用变量，而今Custom Properties 在 CSS 实现变量的原生支持。　　如何使用自定义属性？...我想还有一种更好的方式——在支持的浏览器中尽情使用 CSS Custom Properties ，为不支持的浏览器提供合适的稍有差别的体验。怎么地？之前我们也这么干过呀！...两种色调的 Stuff & Nonsense 译注：Stuff & Nonsense 是原作者的站点。　　在 IE6 臭名昭著的时代，我为我的站点提供了两套设计。　　...为使用过时浏览器的用户提供更简单的替代设计到样式中，就像我在 Stuff & Nonsense 上做的一样。...结论　　我相信没人愿意看到网站变坏或者不被别人喜欢——我也不想这样——但是没必要要求在每个浏览器里展示都一致。我们可以为使用过时浏览器的用提供一个设计相对简单的替代方案。

6753 0

HTML5 & CSS3初学者指南(2) – 样式化第一个网页

在我们的例子，color 是属性，blue 是值。介绍完 CSS 的基本语法。...当我们想要在站点的多个网页中应用相同的样式时，使用外部样式表是很理想的。我们可以在外部样式表中做一个改动，就能改变整个站点的外观和感觉。这大大有助于网站的维护。...）请记得我的这个经验法则-“ 最接近元素的样式，优先级最高 ”。...背景图我们使用 backgroung-image 属性将背景图像嵌入到任何 HTML 元素，添加以下代码片段到 HTML 文件中，修改 url 参数使其指向一个图像文件： body{background-image...完成了本节知识的学习，能帮助我们掌握如何使用CSS样式化我们的页面。在进行样式化网页等开端开发时，还可以借助一些前端开发工具。

2.8K7 0

如何针对老旧浏览器设置 HTTPS 策略

我之前写的《关于启用 HTTPS 的一些经验分享（一）》，主要介绍 HTTPS 如何与一些新出的安全规范配合使用，面向的是现代浏览器。...而今天这篇文章，更多的是介绍启用 HTTPS 过程中在老旧浏览器下可能遇到的问题，以及如何取舍。 ?...Nginx 在很早之前就支持了 SNI，可以通过 nginx -V 来验证。以下是我的验证结果： ? 然而，并不是所有浏览器都支持 SNI，以下是常见浏览器支持 SNI 的最低版本： ?...如果要避免在这些浏览器中出现证书错误，只能将使用不同证书的 HTTPS 站点部署在不同 IP 上，最简单的做法是分开部署到不同机器上。...在我之前的文章中，还提到过 ECC 证书，这种新型的证书支持度更差，这里略过不提，有兴趣的同学可以点这里查看。是否可以针对不同浏览器启用不同证书呢？

1.7K2 0

HTTPS 基本原理和配置 - 2

1.1 NGINX 配置参数（OpenSSL）在开始之前: NGINX 处理 TLS 的方式是使用 OpenSSL，我相信你已经在新闻中听说过这个库。...1.6 同一证书多域如果你有多个站点，并且它们使用相同的证书，那么你实际上可以分解 HTTP 定义。你可以在顶层使用 SSL 证书，在底层使用不同的服务器。...二、后端 HTTPS 更高级的话题是:如何使用 NGINX 作为其他 HTTPS 服务的代理? 后端加密我们称之为后端加密。所以，你的访客访问你的 NGINX 服务器是完全加密的。...在本例中，我们检查了一个名为 badSSL.com 的网站，它列举了所有可能导致 HTTPS 配置混乱的不同方法。你可以用 SSL Labs 扫描每一个，它会告诉你每一个有什么问题。...本质上，这是一个 HTTP 头，你可以添加到你的请求，告诉浏览器总是通过 HTTPS 访问这个站点。即使他们最初是通过 HTTP 访问的，也总是重定向到 HTTPS。

1.2K3 0

技术派：谁说API网关只能集成REST APIs？

一、API网关对API的集成 REST APIs的特点有：数据驱动允许多种数据格式（JSON，XML，文本）使用HTTPS协议的安全性轻量级框架 API的REST不适用的场景：使用非HTTP协议...用一个简单的例子来说明SOAP使用过程，一个SOAP消息可以发送到一个具有Web Service功能的Web站点，例如，一个含有房价信息的数据库，消息的参数中标明这是一个查询消息，此站点将返回一个XML...endpoin 也就说说，对于如SOAP类的API，我们会将它和Fuse进行集成，然后再将Fuse集成到API网关上。...接下来，我们使用一个在线的web based soap客户端： ? 输入刚才的地址进行浏览: ?...接下来，我们将Stock API部署到运行在OpenShift上的JBoss EAP容器上。 Stock数据在两个数据库：MySQL和PostgreSQL。

2.3K3 0

钓鱼套件“军火化”：GhostFrame、BlackForce等新型工具正绕过MFA，大规模窃取数字身份

三、技术深剖：三大套件如何绕过MFA，直取数字身份（1）BlackForce：中间人浏览器注入，让MFA形同虚设传统观点认为，启用短信或TOTP（基于时间的一次性密码）即可防御钓鱼。.../script>body>虽然受限于同源策略，但若目标站点存在CSP配置错误或XSS漏洞，GhostFrame可借机注入恶意JS，窃取输入内容。...强化浏览器层防护启用严格CSP策略，禁止内联脚本和未知来源iframe；部署扩展级反钓鱼工具，如Netcraft Extension可实时比对页面与已知钓鱼模板；在企业环境中推行隔离浏览器（Isolated...采用FIDO2、强化浏览器策略、建立行为基线——这些措施或许不能100%阻止攻击，但足以让大多数自动化套件“无利可图”。在这个数字身份即资产的时代，保护凭证，就是保护我们在线世界的“身份证”。...而这场攻防战的胜负，不在代码深处，而在每一次点击之前的那0.1秒犹豫里。编辑：芦笛（公共互联网反网络钓鱼工作组）

1941 0

假期“财务礼包”暗藏杀机：DocuSign钓鱼邮件激增，虚假贷款成新诱饵

据全球网络安全公司Forcepoint X-Labs最新报告，2025年第四季度以来，一种结合DocuSign品牌伪装与虚假预批贷款诈骗的复合型网络钓鱼攻击正呈指数级增长。...该站点通常具备以下特征：像素级UI克隆：使用真实DocuSign登录页的HTML/CSS截图重建界面。动态内容加载：通过JavaScript注入当前受害者邮箱（从URL参数获取），提升真实感。...他举例说明：使用 Evilginx2 构建的钓鱼代理，可完整模拟DocuSign的OAuth流程，用户在钓鱼页输入账号密码+短信验证码后，攻击者立即用这些凭证登录真实站点，获取有效会话Cookie，全程无需知道密码明文...五、防御实战：从用户习惯到企业架构的多层防护面对如此狡猾的攻击，个体与组织该如何应对？...——尤其是在收到‘天上掉馅饼’的好消息时。”在这个充满诱惑与陷阱的数字节日季，保持清醒，或许是我们能送给自己和家人最珍贵的礼物。

1591 0

使用RAG-GPT集成智谱AI、DeepSeek快速搭建OpenAI Cookbook智能客服

RAG技术原理介绍在介绍RAG-GPT项目之前，我们首先要理解RAG的基本原理，RAG在问答系统中的一个典型应用主要包括三个模块，分别是：Indexing（索引）：将文档分割成chunk，编码成向量，并存储在向量数据库中...快速设置：只需五分钟即可部署生产级对话服务机器人。多样化知识库集成：支持多种类型的知识库，包括网站、独立URL和本地文件。灵活配置：提供用户友好的后台，配备可定制的设置以简化管理。...将 ZHIPUAI_API_KEY 替换为你自己的密钥。请登录智谱AI网站查看你的 API 密钥。...将 ZHIPUAI_API_KEY 替换为你自己的密钥。请登录智谱AI网站查看你的 API 密钥。将 DEEPSEEK_API_KEY 替换为你自己的密钥。...5.一键嵌入到网站RAG-GPT提供了将聊天机器人嵌入到网站的方法，使得用户可以直接在网站上使用智能问答服务。

1.9K2 2

生成式人工智能驱动的鱼叉式钓鱼攻击演化与防御机制研究

摘要近年来，生成式人工智能（Generative Artificial Intelligence, GenAI）技术的迅猛发展在提升生产力的同时，也为网络攻击者提供了前所未有的自动化能力。...4.1 实验设置钓鱼页面生成：使用v0.dev生成Microsoft 365、Okta、Coinbase三类登录页各5个变种，共15个站点。...，所有15个站点均通过了Chrome内置的安全浏览检查，用户访问时无任何警告。...首先，合法站点的频繁UI更新可能导致指纹库维护成本上升。对此，可采用增量学习机制，自动标注用户确认的安全页面以更新基准。其次，高级攻击者可能在钓鱼页中嵌入反检测脚本（如禁用开发者工具）。...7 结语生成式人工智能正在重塑网络钓鱼攻击的形态与规模。本文通过技术解构与实证分析，揭示了AI在鱼叉式钓鱼中从内容生成到动态部署的全链条赋能机制，并证实了传统防御手段的不足。

2771 0

AI安全浏览器在高保真钓鱼攻击下的失效机制与防御增强路径

摘要近年来，多家厂商推出集成生成式人工智能（Generative AI）的“智能安全浏览器”，宣称具备实时钓鱼识别、仿冒站点拦截与购物风险评分能力。...然而，2025年8月由Guardio Labs主导的一项独立实测表明，此类浏览器在面对高保真克隆站点、多阶段重定向及动态内容注入等高级钓鱼技术时，普遍存在检出率低、误报率高、响应延迟等问题。...攻击者已掌握利用AI认知盲区的技术手段，例如使用合法CDN分发页面、注册含品牌词的中性域名（如“walmart-support[.]online”）、嵌入真实用户评论片段以提升页面“真实性”。...3 测试结果与失效机制分析3.1 高保真克隆绕过视觉AI在Walmart仿冒测试中，四款产品均未能识别页面为钓鱼站点。Comet甚至在未获用户确认的情况下完成支付流程。...未来方向包括：将浏览器安全从“页面级”提升至“会话级”，结合用户行为生物特征（如鼠标移动模式）进行连续认证；或利用联邦学习在保护隐私前提下共享钓鱼样本特征。

2451 0

浏览器工作原理 - 安全

在安全和便利之间做了一些权衡，浏览器出让了同源策略的一部分安全性：页面中可以嵌入第三方资源浏览器支持外部引用资源文件，比如图片、CSS、JavaScript 等不过会带来很多问题通过各种途径往...，如通过网络劫持在页面传输的过程中修改 HTML 的内容，如路由器劫持、本地恶意软件劫持特点是在 Web 资源传输过程或者在用户使用页面的过程中修改 Web 页面的数据如何阻止 XSS 攻击服务器对输入脚本进行过滤或转码...Cookie 数据到服务器如果是同一个站点发送的请求，就要保证 Cookie 数据正常发送在 HTTP 响应头中，设置 Cookie 时，可以带上 SameSite 选项 Strict：浏览器完全禁止三方...一些缓存文件的读写也是由浏览器内核实现的，如网络文件缓存的读取网络访问如果要访问网络，需要通过浏览器内核浏览器内核在处理 URL 请求之前，会检查渲染进程是否有权限请求该 URL，如检查 XMLHttpRequest...，但黑客可以拿到公钥，这样就不能保证服务器端数据的安全了对称加密和非对称加密搭配使用在传输阶段依然使用对称加密，但是对称加密的密钥使用非对称加密来传输。

9502 0

CSS基础--属性选择器、伪类选择器

使用方法有三种方法可以在站点网页上使用样式表：外联式Linking（也叫外部样式）：将网页链接到外部样式表。...嵌入式Embedding（也叫内页样式）：在网页上创建嵌入的样式表。内联式Inline（也叫行内样式）：应用内嵌样式到各个网页元素。...其中，优先级：内联式 > 嵌入式 > 外联式当样式需要被应用到很多页面的时候，外部样式表将是理想的选择。使用外部样式表，你就可以通过更改一个文件来改变整个站点的外观。...以下实例显示出如何改变段落的颜色和左外边距。...就如传统的用table页面，对此我们就需要对网站进行代码优化，而这便需要动用CSS+div了，下面便来谈谈使用CSS+div进行代码优化的一些益处。

1.5K2 0

他曾主导世界上第一台安卓智能机, 如今能否靠区块链手机找回昔日的光荣？|人物志

与此同时，HTC也没闲着，先是宣布支持更多去中心化DApp，数量达到20个，紧接着又宣布与Opera浏览器合作，整合Zion Vault API，允许EXODUS 1 用户在Opera 浏览器上使用私钥进行微支付和登录操作...在任职HTC前，Phil Chen曾是李嘉诚风投基金会的成员，担任全球十五家公司的董事会主任和观察员，比如 Improbable，Sentient，88 Rising 和 Blue Vision Labs...在创建EXODUS 项目之前，我曾是李嘉诚风投基金会的成员之一，担任全球十五家公司的董事会主任和观察员，比如 Improbable，Sentient，88 Rising 和 Blue Vision Labs...Phil：近期，Opera 浏览器已经整合了我们的Zion Vault API，允许EXODUS 1 用户在Opera 浏览器上使用私钥进行微支付和登录操作。...营长：从战略角度来看，你如何定义区块链手机业务在HTC总体战略中所扮演的角色？ Phil：随着EXODUS项目的创建和发展，我们将会更专注于加强EXODUS 1和其他现有业务的并行发展。

6783 0

新的浏览器缓存策略变更：舍弃性能、确保安全

Chrome 的 HTTP 缓存当前的工作方式从 85 版开始，Chrome 会使用它们各自的资源URL作为缓存键来缓存从网络获取的资源。下面我们来看几个示例： ?...浏览器使用图像 URL 作为 key ，检查其 HTTP 缓存是否已经缓存了此资源。浏览器在其缓存中找之前缓存的资源，因此它使用了资源的缓存版本。 ?...跨站点搜索攻击：攻击者可以通过检查特定网站使用的“无搜索结果”图像是否在浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...缓存分区将如何影响 Chrome 的 HTTP 缓存？通过缓存分区，除了资源 URL 外，还将使用新的 “网络隔离密钥” 来对缓存的资源进行密钥设置。...在这种情况下，图片缓存的 key 和直接在主页面加载的图片的缓存 key 是相同的，因此可以使用之前缓存的图片资源。 ?

1.3K2 1

浏览器安全（下）

，利用操作系统开放给浏览器系统调用，对操作系统发起攻击，接下来看一下浏览器是如何利用安全沙箱技术保护操作系统安全安全沙箱在浏览器的多进程架构中利用了进程隔离和引入了安全沙箱技术，浏览器的功能主要是由浏览器内核和渲染内核完成...API，浏览器将其封装在浏览器内核中。...，是按照标签页来划分渲染进程，如果一个标签页嵌套了很多站点的iframe，按照标签页划分渲染进程会导致页面内的iframe共用渲染进程数据，有可能受到XSS的攻击，嵌入恶意站点的iframe，盗取当前站点用户数据...之所以使用站点隔离的原因如下：防止进程对操作系统的影响：处理器的架构使操作系统有两个A级漏洞（幽灵、熔毁），黑客可以通过漏洞入侵到进程内部，如果不存在安全沙箱的保护下，则可以通过进程对操作系统发起攻击...防止进程之间相互数据泄露：防止页面内嵌入恶意站点iframe读取当前站点渲染进程的数据，所以将不同的站点分配在不同进程中，做到内容数据隔离，互不影响。

2K8 0

一位AI产品经理的DGX Spark实践启示录：揭秘本地LLM推理如何重构AI应用开发范式

接下来会分享在AI开发中遇到的瓶颈问题，以及如何从依赖AI服务转向嵌入AI应用的过程，同时解释为何DGX Spark成为关键解决方案，并介绍本地推理方案。...故事要从几个月前说起——当时我的团队成员说需要某个LLM服务商的API密钥进行测试。作为称职的团队管理者，我爽快地提供了密钥，却忘了设置使用限制。...直到收到26美元的账单时，我才惊觉问题：虽然金额不大，但这种开发测试阶段的消耗已让人不安——若推广到生产环境，成本恐怕会呈指数级增长。这促使我开始思考更优的解决方案。...我们团队常思考的问题是：如何构建环境将AI真正嵌入应用而非依赖外部服务？如何实现本地推理？如果能在数据中心或云端完成，是否也能在客户端设备实现？...答案是肯定的，但需要解决从客户端到生产级数据中心的推理部署难题。这正是DGX Spark登场的原因——它为我们社区提供了关键的技术路径和解决方案。

4161 0

点击加载更多

CVE-2022-21703：针对 Grafana 的跨域请求伪造

2022 年前端大事记

Zabbix告警分析新革命：DeepSeek四大创新场景助力智能运维

Zabbix告警分析新革命：DeepSeek四大创新场景助力智能运维

【CSS】357- 坚定地使用 CSS Custom Properties

HTML5 & CSS3初学者指南(2) – 样式化第一个网页

如何针对老旧浏览器设置 HTTPS 策略

HTTPS 基本原理和配置 - 2

技术派：谁说API网关只能集成REST APIs？

钓鱼套件“军火化”：GhostFrame、BlackForce等新型工具正绕过MFA，大规模窃取数字身份

假期“财务礼包”暗藏杀机：DocuSign钓鱼邮件激增，虚假贷款成新诱饵

使用RAG-GPT集成智谱AI、DeepSeek快速搭建OpenAI Cookbook智能客服

生成式人工智能驱动的鱼叉式钓鱼攻击演化与防御机制研究

AI安全浏览器在高保真钓鱼攻击下的失效机制与防御增强路径

浏览器工作原理 - 安全

CSS基础--属性选择器、伪类选择器

他曾主导世界上第一台安卓智能机, 如今能否靠区块链手机找回昔日的光荣？|人物志

新的浏览器缓存策略变更：舍弃性能、确保安全

浏览器安全（下）

一位AI产品经理的DGX Spark实践启示录：揭秘本地LLM推理如何重构AI应用开发范式

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐