漏洞 我们要的数据在存在CSP保护的页面中 7.3.7 CDN绕过 一般来说,前端要用到许多的前端框架和库,而部分企业为了效率或者其他原因,会选择使用其他CDN上的js框架,当这些CDN上存在一些低版本的框架时...Script Gadgets中总结了可以被用来CDN绕过的一些JS库,可以用作参考 CDN服务商存在低版本的js库 该CDN服务商在CSP白名单中 7.3.8 站点可控静态资源绕过 给一个绕过codimd...,成功绕过script-src demo2 但是在chrome中,虽然第二个chrome对标签的解析,造成错误,使我们的exp无法成功执行 exp 这里可以用到标签的一个技巧...,这样exp就能成功在chrome浏览器上执行 可控点在合法script标签上方,且其中没有其他标签 XSS页面的CSP script-src只采用了nonce方式 7.3.10 不完整的资源标签获取资源...a= 此时由于我们传入的src的引号没有闭合,html解析器会一直寻找第二个引号,而直到”id“前的引号出现之前,所有内容都会被当作src的值发送到我们的vps上 需要注意的是,chrome下这个exp
我不仅要保证站点本地能跑通,还必须要保证远程 VPS 的健康运行…… ?...接下来我们实战迁移一个纯前端的 SPA 单页站点: 网址:pea3nut.info 源码:github/pea3nut-info 我打算怎么做 在没迁移 Docker 之前,若我想更新线上网站中内容时,...改完直接 git push,而不必本地编译前端站点 GitHub 中的 CI 首先是让 GitHub 在我每次更新代码时打包出一个镜像。...docker-compose 当将 Nodejs 站点迁移完成,我们的 VPS 服务器上已经运行了2 个容器。...全站 Docker 化后,当我再次迁移服务器时,我发现我竟可以在十行命令内完成整个环境的迁移,耗时十分钟!这种“爽快”的感觉也是我撰写文章的动力——我想将这份爽快分享给屏幕前的你。
我不仅要保证站点本地能跑通,还必须要保证远程 VPS 的健康运行…… 重启不行……那就只能重装系统了…… 可是,由于搭建了许多站点,VPS 服务器环境相当复杂(或许这就是 MySQL 挂掉的原因),光...接下来我们实战迁移一个纯前端的 SPA 单页站点: 网址:pea3nut.info 源码:github/pea3nut-info 我打算怎么做 在没迁移 Docker 之前,若我想更新线上网站中内容时,...改完直接 git push,而不必本地编译前端站点 GitHub 中的 CI 首先是让 GitHub 在我每次更新代码时打包出一个镜像。...更新站点 而迁移完成 Docker 后,我想改一个错别字的流程变为: 本地修改完成,执行 git push 等待 CI 编译完成 登录 VPS 服务器,执行: docker image pull pea3nut...docker-compose 当将 Nodejs 站点迁移完成,我们的 VPS 服务器上已经运行了2 个容器。
在 Chrome 中,缓存机制以多种方式使用,HTTP 缓存就是一个示例。...跨站点搜索攻击:攻击者可以通过检查特定网站使用的“无搜索结果”图像是否在浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...跨站点跟踪:缓存可用于存储类似 cookie 的标识符,作为跨站点跟踪机制。 为了减轻这些风险,Chrome 将从 Chrome 86 开始对 HTTP 缓存进行分区。...尽管在上一个示例中加载了相同的图像,但是由于密钥不匹配,因此不会被缓存命中。 ?...对现有网站的影响 这不是一个重大变化,但可能会影响某些网页的性能。 例如,在许多站点上为大量可高度缓存的资源提供服务的站点(例如字体和流行的脚本)可能会看到其流量增加。
WebP Server这是一个基于 Golang 的服务器,允许您动态提供 WebP 图像,在不改变图片URL路径的情况下,自动将JPEG、PNG、BMP、GIF等图像转换为WebP格式,从而减小图片体积...主流的FireFox/Chrome浏览器已经支持webp图像,但目前Safari还不支持。...,对于FireFox/Chrome支持webp图像的浏览器,直接返回webp格式给用户,对于Safari不支持webp的浏览器则输出原图,做到用户无感知访问。...daemon-reload #启动WebP Server systemctl start webp-server #开机启动 systemctl enable webp-server nginx反向代理 在您的站点配置文件中...但如果网站启用了CDN后,CDN边缘节点会将优化过的WebP图像进行缓存,若访客使用Safari这类不支持WebP图像的浏览器将导致图像无法显示。
它被分成不同的进程,因为GPU处理来自多个应用程序的请求并将它们绘制在同表面中。...当Chrome在强大的硬件上运行时,它可能会将每个服务拆分为不同的流程,从而提供更高的稳定性,但如果它位于资源约束设备上,Chrome会将服务整合到一个流程中,从而节省内存占用。...https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types 4.2 处理不同MIME文件 响应文件是HTML...4.3 安全检查 恶意名单检查:如果域和响应数据在恶意站点名单中,则网络线程发出和显示警告页面。 跨域读取检查:CrossOriginReadBlock检查,敏感的跨站点数据不进入渲染器进程 5....8) GPU展示:合成器帧被发送到GPU以在屏幕上显示。
在 Chrome 80 中,如果你的页面开启了 https,同时你在页面中请求了 http 的音频和视频资源,这些资源将将自动升级为 https ,并且默认情况下,如果它们无法通过https 加载,Chrome...StricterMixedContentTreatmentEnabled 策略来控制这些变化: 此策略控制浏览器中混合内容(HTTPS站点中的HTTP内容)的处理方式。...如果该政策设置为true或未设置,则音频和视频混合内容将自动升级为HTTPS(即,URL将被重写为HTTPS,如果资源不能通过HTTPS获得,则不会进行回退),并且将显示“不安全”警告在网址列中显示图片混合内容...如果该策略设置为false,则将禁用音频和视频的自动升级,并且不会显示图像警告。该策略不影响音频,视频和图像以外的其他类型的混合内容。 但是以上策略是一个临时策略,将在 Chrome 84 中删除。...例如,对于一个普通的站点,这意味着如果一个已经登录的用户跟踪一个发布在公司讨论论坛或电子邮件上的网站链接,这个站点将不会收到 Cookie ,用户访问该站点还需要重新登陆。
为了加快站点访问速度,同时不暴露服务器真实IP地址,现决定使用腾讯CDN进行静态资源加速,况且腾讯CDN从17年开始每月送了我10G免费流量,3年没有使用,整整浪费了3*12*10G流量包。...[添加域名] 回源协议 回源协议自行根据自己站点决定,若vps或虚拟主机中开启了HTTPS建议选择协议跟随,否则可能会出现‘重定向次数过多’无法访问的问题。.../essay/文章ID.html,为了保证文章评论及时显示,将/essay/*.html缓存时间设置为0,文章直接回源,不进行缓存。...HTTPS配置 如果你CDN需要开启HTTPS和HTTP2,需要先申请SSL域名证书,然后进入HTTPS配置选项卡中开启。...[开启HTTPS] 注意事项 如果你的站点开启了HTTPS并且启用了强制HTTPS,比如宝塔面板中的SSL配置强制将HTTP重定向到HTTPS,回源协议一定不要选择HTTP,建议选择协议跟随,否则会出现重定向次数过多
它被分成不同的进程,因为GPU处理来自多个应用程序的请求并将它们绘制在同表面中。...当Chrome在强大的硬件上运行时,它可能会将每个服务拆分为不同的流程,从而提供更高的稳定性,但如果它位于资源约束设备上,Chrome会将服务整合到一个流程中,从而节省内存占用。...https://developer.mozilla.org/en-US/docs/Web/HTTP/Basics_of_HTTP/MIME_types 4.2 处理不同MIME文件 响应文件是HTML,...4.3 安全检查 恶意名单检查:如果域和响应数据在恶意站点名单中,则网络线程发出和显示警告页面。 跨域读取检查:CrossOriginReadBlock检查,敏感的跨站点数据不进入渲染器进程 5....8) GPU展示:合成器帧被发送到GPU以在屏幕上显示。
Chrome开发小组最近发表声明他们正在將DOM properties移动到原型链中。这个更新将会在Chrome 43(2015年4月发布beta版本)中实现。...因为DOM属性都移动到了原型链中,而hasOwnProperties方法不会检查原型链上是否有这个属性。 在Chrome 42及以前版本中,如下代码的执行结果为true。...} DOM实例上调用Object.getOwnPropertyDescriptor方法不再会返回属性的描述对象 如果你的站点需要获取DOM实例上的属性描述对象,那么你就需要在原型链中获取了。...遵循本文的指导来修改现有代码,或者留下评论与我讨论。 我见过一个站点有类似的问题,我该怎么做?...那么那个站点的开发者可以做如下事情: 在Chrome的issur tracker上提交一个关于受影响站点的issue 为Webkit提交一个issue:https://bugs.webkit.org/show_bug.cgi
如何激活站点加速器 在您站点的控制面板上,转到 Jetpack → 设置 → 性能。 在性能和速度部分,将“启用站点加速器”的开关滑动到开启位置。 ...2、有没有办法保留 CDN 生成的 HTML 中的“宽度”和“高度”属性? 我们删除宽度和高度参数,以防止调整后的图像在与原始图像的尺寸不同时发生倾斜。...如果您需要我们清除某些图像,请联系我们,并提供相关文件在您站点上显示的直接链接。这些链接将会以 i0.wp.com、i1.wp.com 或 i2.wp.com 开头。...我们只会从侦听端口 80 (HTTP) 和端口 443 (HTTPS) 的服务器上获取、调整和提供 gif、png 和 jpg 图像。这大约覆盖了全球 99.99% 的 Web 服务器。...如果您移动到其他平台,或者您的站点断开了与 Jetpack 的连接,则还需切换到其他图像服务。
混合 HTTPS 内容早在上个版本(Chrome 80)的更新中我就介绍过了:是指通过 HTTP 和 HTTPS 加载图像、JavaScript 或样式表等内容的网页,这意味着该站点实际上并不完全通过...这将替换显示在多功能框右侧的屏蔽图标,以取消阻止以前版本的台式机 Chrome 浏览器中的混合内容。...Chrome 80 仍然可以加载混合图像资源,但它们会使 Chrome 在状态框上显示不安全。...在 Chrome 81 中,混合的图像资源会自动升级到 https://,如果无法通过 https:// 加载,Chrome默认会阻止它们。...但是,在最新的 Chrome 官方博客中我发现:从 Chrome 删除 TLS 1.0 和 TLS 1.1 加密协议的计划现在延迟到了 Chrome84。
set of HTTP headers.)把我搞了好久好久。...我就说哥们你是谁啊?CGI是什么?CGI是HTTPserver与你的或其他机器上的程序进行“交谈”的一种工具,其程序须执行在网络server上。 CGI哥们有什么本领的呢?...IIS是标准的站点server:站点的建设是基于站点server的。在UNIX或Linux平台上,Apache就是站点server。...IIS 5.0也是同意在Internet/Intranet上公布信息的webserver。 IIS通过超文本传输协议(Http)传输信息,还可配置IIS以提供文件传输协议(FTP)和其它服务。...发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/116690.html原文链接:https://javaforall.cn
本文是该系列的第二篇,为了便于阅读,我做了简单修改和注释,建议顺序阅读: 现代浏览器多进程架构(Chrome 举例)。 老规矩,觉得本文有帮助,就点赞、留言或者转发分享吧。你喜欢总要让我知道吧!...开始导航 当用户点击“Enter”时,UI线程启动网络请求,以获取站点内容。加载中状态显示在选项卡的左边,并且网络线程通过适当的协议,如DNS查找和TLS为请求建立连接。...网络线程会检查响应数据是否是来自 Safe Browsing(安全站点)的 HTML。如果域或响应数据与已知的恶意网站相匹配,则网络线程会发出警告,并显示警告页面。...此时,地址栏会更新,安全锁(HTTPS证书安全)和站点设置 UI 会显示新页面的站点信息。选项卡的历史记录将更新,因此后退/前进按钮将允许操作之前的浏览器历史。...同时会将历史记录存储在磁盘上,以确保关闭选项卡或窗口后,依然可以浏览历史以及还原窗口。 额外步骤:初始加载完成 提交导航后,渲染器进程继续加载资源,并显示页面。
它是功能丰富的,现在有一个桌面应用程序(在Linux,Windows和Mac OS上运行),只需在您的计算机上提供Ghost的所有功能和功能。...Debian / Ubuntu服务器 重要提示 :在开始安装Ghost之前,您需要拥有一个很好的VPS主机,我们强烈推荐BlueHost 。...要查看您新安装的Ghost博客,请打开网络浏览器,然后键入以下URL: http://SERVER_IP:2368 OR http://localhost:2368 注意 :首次启动Ghost后,文件config.js...第4步:安装和配置Nginx for Ghost 9.在本节中,我们将安装和配置Nginx服务器端口80上的Ghost博客,以便用户可以访问Ghost博客,而不在端口添加端口:2368 。...将配置文件包含在启用了站点的目录中,并禁用默认站点,如图所示。 $ sudo vi /etc/nginx/nginx.conf 现在在http块中添加以下行以将配置文件包含在启用了站点的目录中。
Imagify WordPress的图像优化器插件主要特点: 通过压缩WordPress图像而不损失质量来提高网站速度 压缩WordPress中的所有现有图像和新图像 压缩各种尺寸的图像,包括缩略图等... 该插件完全基于云;它不会优化来自站点服务器CPU的图像,而是在专用云处理器上执行进程(与EWWW不同)。...该插件会自动压缩所有旧图像并监控站点以查找新图像。它消耗的资源非常低,不会减少服务器负载,并且在共享云、专用和VPS主机上运行良好。您还可以优化媒体库中的图像或通过FTP上传。 ...ShortPixel WordPress图像优化器插件 主要特点: 一键优化WordPress库中的照片 资源要求低 文件大小没有限制 可用于在共享主机、云和VPS上优化WordPress网站上的照片...通过设置最大宽度和/或高度来自动调整巨大的图像上传大小,以获得更合理的浏览器显示。 使用渐进式JPEG编码更快地显示JPEG图像。 选择在原始图像中保留版权元数据、创建日期和GPS位置。
,我们可以在上面做各种事情,有的时候我们在上面存钱、有的时候在上面看视频,但是你肯定不希望看视频的网站知道你存了多少钱,所以在浏览器中不同来源的站点不能互相访问,我们熟悉的另一个名称是:同源策略。...但是很多恶意网站会通过各种巧妙的手段绕过这个限制,站点隔离是 Chrome 中的一项安全功能,它提供了额外的防护措施,可以降低此类攻击成功的可能性。...它可以确保始终将来自不同网站的页面置于不同的流程中,每个流程都在沙箱中运行,以限制流程的执行范围。它还阻止了从其他站点接收某些类型的敏感数据的过程。...文件的内容会保存到渲染器进程的内存中,此时,渲染器会注意到它不是有效的图像格式,并且不会渲染图像。...这是必需要做的的,因为某些 Web 服务器配置不正确,例如将图像配置为 text/html。
前言 很明显apache原生是不支持https的,无论是用https访问自身的站点,还是代理来自其他网站的https的站点。毕竟人家https走的端口是443,都不是默认的80。...配置https正向代理 对于https的正向代理,在http的正向代理配置的基础上,只要额外添加下面的配置即可: SSLProxyEngine on SSLCertificateFile /etc/apache2...配置https站点 我们知道对于通常的http站点,他的配置路径是在/etc/apache2/sites-enabled/000-default.conf上,但是我发现如果直接在这里配置https站点则会不起效果...一番捣鼓之后发现,其实为了区分http和https站点并加以分别配置,apache2还特地给了另外一份配置文件,这份配置文件的模板需要我们用下面的命令得到: $ sudo a2ensite Your choices...关于证书 当然,我们自己生成的证书是不被浏览器认可的,通常访问的用户都会被告知这是一个不安全的链接,尤其是chrome,那个红色背景格外的吓人,因此如果是真的想让自己的网站能用https,要么去花钱买证书
在这个不断变化的环境中,一组开发人员构建了SPDY,以建立在原始超文本传输协议(HTTP)的语法上。 顾名思义,开发SPDY的核心目标是找到更快的方式来传输互联网上的内容,从而降低页面加载速度。...HTTP/2有何不同 HTTP / 2建立在与HTTP 1.1相同的语法之上,HTTP / 2的完整技术规范在此列出,但HTTP2.github中总结了与HTTP 1.1的一些差异 ,如下所示: HTTP...Google不会将HTTP / 2准备考虑在其算法中,但它会奖励拥有该用户体验的站点。所以,我相信百度也不会落后。...如何升级到HTTP/2 首先,您的网站需要使用HTTPS。事实上,这是移动到HTTP / 2的最麻烦的部分,因为一旦你的网站已经实现了HTTPS后,剩下的过程真的很简单。...还值得注意的是,如果站点在HTTP / 2上,并且与仍然在HTTP 1.1上的资源建立连接,则它们将简单地以后一种语言进行通信。
我们可以到 Chrome 博客(https://blog.chromium.org/2021/09/user-agent-reduction-origin-trial-and-dates.html)去查看整个时间线...CHIPS 如果我们允许站点上的 Cookie 在跨站点的情况下被发送(例如 iframe 嵌入或 API 调用),应该遵循 CHIPS 提案 ,它会将 cookie 标记为 已分区,并且将它们放在每个顶级站点的单独...跨站点搜索攻击:攻击者可以通过检查特定网站使用的“无搜索结果”图像是否在浏览器的缓存中来检测用户的搜索结果中是否包含任意字符串。...跨站点跟踪:缓存可用于存储类似 cookie 的标识符,作为跨站点跟踪机制。 为了减轻这些风险,Chrome 从 Chrome 86 开始对 HTTP 缓存进行分区。...具体可以参考我这篇文章: 新的浏览器缓存策略变更:舍弃性能、确保安全 广告内容展示 随着浏览器逐步淘汰第三方 cookie,在广告业务下,我们需要在不继续启用跨站点跟踪的情况下,使用新的 API 来替代它
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
云直播
