和apache等web服务软件一样,rewrite的主要功能是实现URL地址的重定向。Nginx的rewrite功能需要PCRE软件的支持,即通过perl兼容正则表达式语句进行规则匹配的。默认参数编译nginx就会支持rewrite的模块,但是也必须要PCRE的支持。
Web安全一直是互联网用户非常关心的话题,无论是国际互联网组织还是浏览器厂商,都在尽力使用各种策略和限制来保障用户的信息安全。然而,这种好的出发点,却极可能被心怀不轨的人利用(即被“策反”),来对用户进行追踪,带来更多的隐私泄露问题和其他的安全隐患。 一、首先,介绍两个安全机制 (1)HTTP严格传输安全HSTS HSTS(HTTP Strict Transport Security)[1],是国际互联网工程组织正在推行的Web安全协议,其作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接,用来抵
HSTS是让浏览器强制使用HTTPS访问网站的一项安全策略。HSTS的设计初衷是缓解中间人攻击带来的风险。本文主要介绍HSTS及其他Web功能带来的一些隐私问题,比如如何利用它们来探测浏览器的用户历史纪录。 作者 | tocttou 一、背景:什么是HSTS HSTS的英文全称是HTTP Strict Transport Security,中文译作HTTP严格传输安全。2012年11月IETF发布RFC 6797,在这篇文档中正式定义了HSTS。HSTS的开启方式是在HTTP响应头中加入Strict-Tra
HTTP Strict Transport Security (通常简称为HSTS) 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源, 禁止HTTP方式。
HTTPS是确保传输安全最主要的手段,并且已经成为了互联网默认的传输协议。不知道读者朋友们是否注意到当我们利用浏览器(比如Chrome)浏览某个公共站点的时候,如果我们输入的是一个HTTP地址,在大部分情况下浏览器会自动重定向到对应HTTPS地址。这一特性源于浏览器和服务端针对HSTS(HTTP Strict Transport Security)这一HTTP规范的支持。ASP.NET利用HstsMiddleware和HttpsRedirectionMiddleware这两个中间件提供了对HSTS的实现。(本文提供的示例演示已经同步到《ASP.NET Core 6框架揭秘-实例演示版》)
今天我们以WordPress为例,在搭建好网站以后,后期可能因为各种原因我们需要对网站进行调整。调整以后一定要记得有一件事情要做,那就是301重定向,否则可能会丢失之前累积的来之不易的流量。
作为前端开发,肯定对 Chrome 的 dev tools 不陌生,除了日常 Debug,还提供了一个非常强大的功能:performance 用做性能分析。
HTTPS对于保护你的网站至关重要。但是你还需要避免许多陷阱 1. 没有混合内容
我们在代码中直接监听请求,在请求前看请求js的url是否以nodeModules_eeb5887.js结尾,如果是的话直接替换为vue_2.6.14.js。
Facebook和Chrome用户要注意了,最近有一款名叫FacexWorm的病毒,可以窃取密码,窃取加密货币,或者向Facebook用户发送垃圾邮件。
本文是《2020年了,再不会HTTPS就老了》的后篇,本文着重聊一聊HTTP Strict Transport Security协议的概念和应用。
关于“dns-prefetch”预解析还是在偶尔查看源代码时发现的,当时并没有在意,后来发现淘宝京东都有这个标签就自行度娘了,那么这个预解析对我们的网站到底有没有效果呢?别急,咱先了解下什么是DNS Prefetch?
前段时间,项目在进行 JWT 改造,用户的身份认证从 cookie 改成了 token。
在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HTTPS服务。而第一次的HTTP请求就有可能被劫持,导致请求无法到达服务器,从而构成HTTPS降级劫持。这个问题目前可以通过HSTS(HTTP Strict Transport Security,RFC6797)来解决。 在网站全站HTTPS后,如果用户手动敲入网站的HTTP地址,或者从其它地方点击了网站的HTTP链接,通常依赖于服务端301/302跳转才能使用HT
在源网页通过服务器重定向打开某个三方网页,网络层出现了 -1005 (NSURLErrorNetworkConnectionLost) 错误码,排查差异后发现是由于给这个三方服务带了源网页特有的 HTTP Header,导致服务器检查异常从而断开连接。
HTTP Strict-Transport-Security(通常简称为HSTS)响应标头用来通知浏览器应该只通过 HTTPS 访问该站点,并且以后使用 HTTP 访问该站点的所有尝试都应自动重定向到 HTTPS。
由于众所周知的原因,github 在国内时不时不能访问,虽然有各种办法可以跨越屏障,但是你不能用预测未来会发生哪些事情,于是决定将博客迁移到国内,coding 是一个不错的选择,主要有以下几个优点。
缘起:启用HTTPS也不够安全 有不少网站只通过HTTPS对外提供服务,但用户在访问某个网站的时候,在浏览器里却往往直接输入网站域名(例如www.example.com),而不是完整的URL(例如ht
近期,研究人员发现了一种新型的技术支持诈骗技术,攻击者可以利用这种技术来劫持Google Chrome用户的浏览会话。
最近有接手一个新项目需要获取一系列的性能指标:建连时间 ssl握手时长 首包时间 首屏时间 下载时长 下载总时间 下载速率 ,需要模拟一系列的测试场景:需要对比1k,10k,100k,1m,10m,100m需要对比视频流播放,需要对比文件下载,需要对比多路重传
URL 重定向(也称为 URL 转发)是一种为页面、表单或者整个 Web 站点/应用提供多个 URL 地址的技术。HTTP 对此操作有一种特殊类型的响应,称为 HTTP 重定向(HTTP redirect)。
我最近使用 .NET Core 2.2 造了个名为"Link Forwarder" (链接转发器)的 URL 转发服务,并已开源。目前预览版已部署到我的子域"go.edi.wang"。本文将分享我如何构建这个项目,以及我学到的东西。
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关
很久之前就想关于浏览器渲染原理做一份总结性文章。之前也看过网上不少这个方面的文章,关于浏览器渲染机制的原理文章非常多但是总是觉得差那么一点意思,没有串联整个流程。所以这里打算串联这两部分,从原理和实践出发讲解他们背后的含义。
https://segmentfault.com/a/1190000018785911
www.messenger.com是Facebook旗下即时通讯软件Messenger官网,该网站中添加了基于随机数认证( nonce based login )的Facebook登录服务,如果用户当前是Facebook登录状态,则可以直接以Facebook身份登录messenger.com。然而,由于随机数为用户生成了访问messenger.com的会话cookie,这种机制可能会让当前已登入的Facebook用户构造恶意随机数(nonce)和URL,使访问发生跳转。另外,在此过程中,由于当前的fac
一、将样式表放在顶部 可视性回馈的重要性 进度指示器有三个主要优势——它们让用户知道系统没有崩溃,只是正在为他或她解决问题;它们指出了用户大概还需要等多久,以便用户能够在漫长的等待中做些其他事情;最后,它们能给用户提供一些可以看的东西,使得等待不再是那么无聊。最后一点优势不可低估,这也是为什么推荐使用图形进度条而不是仅仅以数字形式显示预期的剩余时间。在Web的世界里,Html页面的逐步呈现就是很好的进度指示器。 将没有立即使用的css放在底部是错误的做法 通常组件的下载是按照文档中出现的顺序下载的,所以将不
当用户在 Chrome 地址栏中输入不完整的网址时(例如 blog.wpjam.com),以往在默认情况下,Chrome 会事先通过 HTTP 来加载域名,毕竟大部分用户为了节省时间并不会将 http:// 这样的协议一同输入地址栏。
本文讲述了一名技术社区的内容编辑人员,在浏览技术文章时,发现文章中包含了大量无用的信息,导致页面体积膨胀,影响阅读体验。文章作者通过技术手段,将文章中的无用信息去除,并将剩下的有效信息整理成缩略图,从而提高了文章的阅读体验。同时,文章作者还分享了一些在处理大量数据时,可以使用的工具和方法,帮助读者更好地处理类似的问题。
无论你触发了多少bug,最多导致浏览器崩溃,对系统影响不到哪去。 这就像二次元各种炫酷的毁灭世界,都不会导致三次元的世界末日。 然而,作为一个前端,我发现是有方式打开次元大门的…
前端监控包括性能、错误、轨迹、热点等,之前用过的也就百度统计hmjs,其它知道的也就badjs、fundebugjs、frontjs等。估计很多大公司都有自己编写的库。
翻译后发现貌似已经有人翻译过,但是翻译的水平就有点。。。。。那篇文章中不仅忽略了知识点,并且出现了明显的语义和语法错误,有一定的误导作用,所以请务必重新阅读老高的翻译。文章中容易出错的地方老高已经注释(在文章中以【】标出)。
前段时间,我们的专家调查了一款他们称为Roaming Mantis的恶意软件。当时,受影响的人主要来自日本,韩国,中国,印度和孟加拉国的用户,所以我们没有在其他地区讨论恶意软件,这似乎是一个针对威胁。
无论你触发了多少bug,最多导致浏览器崩溃,对系统影响不到哪去。 这就像二次元各种炫酷的毁灭世界,都不会导致三次元的世界末日。 然而,作为一个前端,我发现是有方式打开次元大门的......
打开/apache-jmeter-5.1.1/bin/jmeter.properties
自今年年初以来,你可能在WhatsApp上收到过联系人向你发送的,关于阿迪达斯运动鞋免费送的活动消息。
一、了解URL 统一资源定位符是对可以从互联网上得到的资源的位置和访问方法的一种简介的表示,是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置以及浏览器怎样处
要介绍进程与线程的话,需要先讲解下并行处理,了解了并行处理的概念,再理解进程和线程之间的关系就会变得轻松许多。
Performance 接口可以获取到当前页面中与性能相关的信息。它是 High Resolution Time API 的一部分,同时也融合了 Performance Timeline API、Navigation Timing API、 User Timing API 和 Resource Timing API
许多博客至今仍旧在使用HTTP协议传输数据,甚至明文传输密码,用户信息和网站的安全存在很大的隐患。许多大厂已经开始发放免费SSL证书,但是由于许多站长的不重视,至今仍有大量网站并未实现全站HTTPS。
由于项目需要, 需要对网页的一些性能进行监控, 接触到了performance, window.performance 提供了一组精确的数据,经过简单的计算就能得出一些网页性能数据, 将这些数据存储为
Fetch 是一个现代的概念, 等同于 XMLHttpRequest。它提供了许多与XMLHttpRequest相同的功能,但被设计成更具可扩展性和高效性。
SameSite cookie 推出已一年有余,自己看了不少文章,也撞了不少南墙,所以还是那句好记性不如烂笔头。你可能觉得自己懂了,但试着讲出来,才能知道自己是否真的懂了。
如果大家想继续看下面的内容的话,有一个要求,就是回答我一个问题: 你这样写过代码吗? window.onload = function(){ $(".gravatar").on('click',function(){ //... }); //以及其他操作DOM的节点 } 如果答案是 yes. 那么,bingo, 这里我们将深入讲解,这样写代码到底有没有IQ。 如果答案是 No. 那么,2333333, 你也可以看一下。 万一哪天用上了呢? 可能会有童鞋反问,那么,我
我家里的电脑是使用的是Fiddler4,fiddler目前都可以捕获到chrome的session,但是我公司还是使用的是Fiddler2,因为我是开发人员,很喜欢使用chrome调式代码,所以经常Fiddler捕获不到chrome下session。所以对这个可以做个总结,为了自己以后忘记了或者即将和我一样对chrome下的session捕获不到的同学一个帮助;
如果你需要获取网站的 URL 信息,那么 window.location 对象就是为你准备的。使用它提供的属性来获取当前页面地址的信息,或使用其方法进行某些页面的重定向或刷新。
Apached的重写功能,即是mod_rewrite模块功能,它是apache的一个模块。它的功能非常强大,可以操作URL中的所有部分。通过改写url,给用户提供一个简介大方的url,当用户访问时可以通过mod_rewrite模块功能转换为真正的资源路径。通过mod_rewrite能实现的功能还有很多,例如隐藏真实地址、实现URL跳转、域名跳转、防盗链、限制访问资源类型等等。
Google似乎已经在中国大陆地区结束了翻译业务并将访问者重定向到其香港的translate.google.com.hk域名,然而事实上当地用户并没有办法访问该域名。
领取专属 10元无门槛券
手把手带您无忧上云