Public Key Pinning
该公共密钥钢钉扩展HTTP(HPKP)是一种安全功能,它讲述了一个Web客户端与某个web服务器的特定密码公钥关联到降低风险中间人伪造证书的攻击。为了确保在TLS会话中使用的服务器公钥的真实性,该公钥被封装到通常由证书颁发机构(CA)签署的X.509证书中。Web客户端(如浏览器)信任很多这些CA,它们都可以为任意域名创建证书。如果攻击者能够危害单个CA,他们可以对各种TLS连接执行MITM攻击。
使用这些HTTP标头保护您的Web应用程序
by Alex Nadalin通过亚历克斯·纳达林使用这些HTTP标头保护您的Web应用程序 (Secure your web application with these HTTP headers)This is part 3 of a series on web security: part 2 was “Web Security: an introduction to HTTP”https:
HTTP安全标头及其工作原理(下)
上一篇文章我们对HTTP标头的安全意义做了介绍,本文将为大家讲述有哪些标头可以起到实际的安全防护作用。HTTP严格传输安全性(HSTS)HTTP标头顾名思义,HSTS是一种强制浏览器使用安全Web连接的机制。近些年,随着域名劫持、信息泄漏等网络安全事件的频繁发生,网站安全也变得越来越重要,也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。采用HSTS协议的网站将保证浏览器始
HTTP安全标头及其工作原理(上)
前言标头是HTTP规范的一部分,在HTTP请求和响应中定义消息的元数据。当用户通过客户端浏览器访问网站时,服务器使用HTTP响应头进行响应。虽然HTTP消息通常由用户读取,但元数据仅由Web浏览器处理,并且自1.0版以来已包含在HTTP协议中。在请求消息中,元数据可以包含以下信息:1.请求的语言;2.Cookies;3.网站证书;4.缓存数据而在响应消息中,元数据可以包含以下信息:1.内容的大小和
HTTP公钥固定(Public Key Pinning)扩展:HPKP 详解
一、什么是HPKP?HTTP公钥固定(HPKP)是一种安全功能,它告诉Web客户端将特定加密公钥与某个Web服务器相关联,以降低使用伪造证书进行“MITM攻击(中间人攻击)”的风险。为了确保TLS会话中使用的服务器公钥的真实性,此公钥将包装到X.509证书中,该证书通常由证书颁发机构(CA)签名。诸如浏览器之类的Web客户端信任许多这些CA,它们都可以为任意域名创建证书。如果攻击者能够破坏单个CA
HTTP Public Key Pinning 介绍
上篇文章中,我介绍了由 Google 推动的 Certificate Transparency 技术,它旨在通过开放的审计和监控系统,提高 HTTPS 网站证书安全性。本文要介绍的 HTTP Public Key Pinning(HPKP),也是用来防范由「伪造或不正当手段获得网站证书」造成的中间人攻击,但有着与 CT 不同的思路。我们知道,受信任的 CA(证书颁发机构)有好几百个,他们成为整个网
使用 Wireshark 调试 HTTP2 流量
我们知道,HTTP/2 引入了二进制分帧层(Binary Framing),将每个请求和响应分割成为更小的帧,并对它们进行了二进制编码。与此同时,HTTP/2 沿用了之前 HTTP 版本中的绝大部分语义,上层应用基本上感知不到 HTTP/2 的存在,这一点可以通过浏览器的网络调试工具得到验证。以下是使用 Chrome 访问 HTTP/2 网站的截图,网络面板中显示的内容与 HTTP/1 网站相比,
Nginx的跨域Content Security Policy通行设置
HTTPS 是 HTTP over Secure Socket Layer,以安全为目标的 HTTP 通道,所以在 HTTPS 承载的页面上不允许出现 http 请求,一旦出现就是提示或报错:Mixed Content: The page at ‘https://www.taobao.com/‘ was loaded over HTTPS, but requested an insecure im
一个HTTPS转HTTP的Bug,他们竟然忍了2年?原谅我无法接受,加班改了!
今天这篇文章给大家讲一个追查Bug的故事和过程。个人一直认为:事出反常必有妖,程序中的Bug也是如此。希望通过这个Bug的排查故事,大家不仅能够学到一系列的知识点,同时也能学会如何解决问题,如何更加专业的做事。而解决问题的方式及思维比单纯的技术更加重要。Let's go!故事的起因刚接手新团队新项目没多久,在发布一个系统时,同事友善的提醒:发布xx系统时,在测试环境要注释掉一行代码,上线发布时再放
让浏览器不显示HTTPS页面中HTTP请求警报
如果无法找到网站源码存在的HTTP调用数据,这种情况下可以使用两种方式解决:一、服务器:Apache、Nginx甚至是后端语言的响应头中加入:header(“Content-Security-Policy: upgrade-insecure-requests”);CPS设置upgrade-insecure-requests作用是让浏览器自动升级请求。二、页面中加入meta头:<meta ht