01 2020 档案
摘要:1.https证书的分类 SSL证书没有所谓的"品质"和"等级"之分,只有三种不同的类型。 SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。 CA机构颁发的证书有3种类型: 域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便
阅读全文
摘要:我们是使用spring cloud zuul作为api gateway实践中,发现默认zuul会过滤掉cookie等header信息,有些业务场景需要传递这些信息该怎么处理呢? 处理方式 在api gateway的application.properties文件中添加 zuul.sensitive
阅读全文
摘要:本文原创作者:bgusko63190,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×00. 引言 我曾做过一个调查,看看网友们对关于X XSS Protection 字段的设置中,哪一个设置是最差的,调查结果令我非常吃惊,故有此文。 网友们认为 最差的配置是X XSS Protection
阅读全文
摘要:漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。
阅读全文
摘要:背景 在接入内容平台的时候, 内容平台使用iframe来嵌入ugc的帖子详情页, 让用户可以预览帖子详情。 但是帖子详情页不支持iframe的嵌入, 导致出现如下错误: ”star.aliexpress.com 拒绝了我们的连接请求。“ 具体如下: image.png 原因 这是因为帖子详情页不支持
阅读全文
摘要:内容安全策略(CSP),其核心思想十分简单:网站通过发送一个 CSP 头部,来告诉浏览器什么是被授权执行的与什么是需要被禁止的。其被誉为专门为解决XSS攻击而生的神器。 1.前言 内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击
阅读全文
摘要:收起 有些版本的IDEA需要重启,有些不需要 鼠标放在实现的类名上,出现黄色提示,点击 选择serialVersionUID ———————————————— 版权声明:本文为CSDN博主「牧子易」的原创文章,遵循 CC 4.0 BY SA 版权协议,转载请附上原文出处链接及本声明。 原文链接:ht
阅读全文
