Public Key Pinning
该公共密钥钢钉扩展HTTP(HPKP)是一种安全功能,它讲述了一个Web客户端与某个web服务器的特定密码公钥关联到降低风险中间人伪造证书的攻击。为了确保在TLS会话中使用的服务器公钥的真实性,该公钥被封装到通常由证书颁发机构(CA)签署的X.509证书中。Web客户端(如浏览器)信任很多这些CA,它们都可以为任意域名创建证书。如果攻击者能够危害单个CA,他们可以对各种TLS连接执行MITM攻击。
使用这些HTTP标头保护您的Web应用程序
by Alex Nadalin通过亚历克斯·纳达林使用这些HTTP标头保护您的Web应用程序 (Secure your web application with these HTTP headers)This is part 3 of a series on web security: part 2 was “Web Security: an introduction to HTTP”https:
HTTP安全标头及其工作原理(下)
上一篇文章我们对HTTP标头的安全意义做了介绍,本文将为大家讲述有哪些标头可以起到实际的安全防护作用。HTTP严格传输安全性(HSTS)HTTP标头顾名思义,HSTS是一种强制浏览器使用安全Web连接的机制。近些年,随着域名劫持、信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。采用HSTS协议的网站将保证浏览器始
HTTP安全标头及其工作原理(上)
前言标头是HTTP规范的一部分,在HTTP请求和响应中定义消息的元数据。当用户通过客户端浏览器访问网站时,服务器使用HTTP响应头进行响应。虽然HTTP消息通常由用户读取,但元数据仅由Web浏览器处理,并且自1.0版以来已包含在HTTP协议中。在请求消息中,元数据可以包含以下信息:1.请求的语言;2.Cookies;3.网站证书;4.缓存数据而在响应消息中,元数据可以包含以下信息:1.内容的大小和
Nginx的跨域Content Security Policy通行设置
HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错:Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecure im
一个HTTPS转HTTP的Bug,他们竟然忍了2年?原谅我无法接受,加班改了!
今天这篇文章给大家讲一个追查Bug的故事和过程。个人一直认为:事出反常必有妖,程序中的Bug也是如此。希望通过这个Bug的排查故事,大家不仅能够学到一系列的知识点,同时也能学会如何解决问题,如何更加专业的做事。而解决问题的方式及思维比单纯的技术更加重要。Let's go!故事的起因刚接手新团队新项目没多久,在发布一个系统时,同事友善的提醒:发布xx系统时,在测试环境要注释掉一行代码,上线发布时再放
让浏览器不显示HTTPS页面中HTTP请求警报
如果无法找到网站源码存在的HTTP调用数据,这种情况下可以使用两种方式解决:一、服务器:Apache、Nginx甚至是后端语言的响应头中加入:header(“Content-Security-Policy: upgrade-insecure-requests”);CPS设置upgrade-insecure-requests作用是让浏览器自动升级请求。二、页面中加入meta头:<meta ht
Django中静态文件之各个配置详解
关于静态文件的部分,有兴趣的可以去官网看看:Django3.2 关于管理静态文件 (不必纠结Django是哪个版本,关于静态文件的配置的都一样)https://docs.djangoproject.com/zh-hans/3.2/howto/static-files/当然,觉得官网介绍的太复杂的话,接下来可以看我写的部分:假设创建了一个名为myweb的项目,那么项目文件目录应该是这样的:C:\Us
解决Django项目中关闭DBUG后无法加载静态文件
原因:当我们在开发django应用时如果设置了 DEBUG = True,那么django便会自动帮我们对静态文件进行路由;但是当我们设置DEBUG = False后,这一功能便没有了,此时静态文件就会出现加载失败的情况,想要让静态文件正常显示,我们就需要配置静态文件服务。但可不可以在不配置静态文件服务器如Nginx等的情况下正常访问呢。经过测试总结如下。环境:运行版本:django4.2.10在
Nginx七层(应用层)反向代理:UWSGI代理uwsgi_pass篇
1. 概述1.1 什么是反向代理反向代理是一种常见的服务器架构模式,它位于用户和原始服务器之间,接收用户的请求并将其转发到一个或多个后端服务器。然后,反向代理将从后端服务器获取的响应返回给用户,就好像这些内容都是由代理服务器本身直接提供的一样。在这个过程中,用户只与反向代理服务器进行直接交互,而不知道后端服务器的存在。这种架构为系统提供了额外的抽象和控制层,使得系统管理员能够灵活地部署和管理后端资