随笔分类 - Web相关
web、HTTP
摘要:具体示例 //代码 console.log(JSON.stringify({ x: 5, y: 6 },null,2)); //输出结果 { "x": 5, "y": 6 } JSON.stringify() 介绍 JSON.stringify()方法将一个JavaScript对象或值转换为JSON
阅读全文
摘要:简介 目录穿越(也被称为目录遍历)是通过使用../等目录控制序列或者文件的绝对路径来访问存储在文件系统上的任意文件和目录,特别是应用程序源代码、配置文件、重要的系统文件等。 路径穿越是网站被恶意人员利用,来得到其无权限访问的内容。 通常是由于代码没有判断拼接路径的真实路径是否合法,最终导致文件读取。
阅读全文
摘要:背景 最近做的安全测评主要是SSRF,发现自己在这一块有挺大知识盲点,抓紧补一下。 1.介绍 SSRF(Server-Side Request Forgery:服务器端请求伪造),是一种攻击者利用服务端发起请求的安全漏洞。攻击者能够诱使服务端应用程序向攻击者选择的域发出HTTP请求。 SSRF针对的
阅读全文
摘要:1. CURL简介 cURL是一个利用URL语法在命令行下工作的文件传输工具。它支持文件上传和下载,是综合传输工具。cURL就是客户端(client)的URL工具的意思。 2. 常用参数 -k:不校验证书 curl https://baidu.com -k -i:包含响应headers、响应body
阅读全文
摘要:cookie的生命周期 cookie的生命周期可以通过两种方式定义: 会话期cookie是最简单的cookie:浏览器关闭后会被自动删除。会话期cookie不需要指定过期时间(Expires)或者有效期(Max-Age)。需要注意的是,有些浏览器提供了会话恢复功能,这种情况即使关闭了浏览器,会话期c
阅读全文
摘要:前言:Apollo(阿波罗)是携程研发的开源配置管理中心,能够集中管理应用不同环境、不同集群的配置。同一环境统一集群的配置下有namespace概念,具体信息官方文档如下: namespace是配置项的集合,类似于一个配置文件的概念。 application的namespace:Apollo在创建项
阅读全文
摘要:rpop命令 用于移除列表的最后一个元素,返回值为移除的元素。当列表不存在时,返回nil。 基本语法: rpop key_name LPOP:移除并返回列表第一个元素 RPOP:移除并返回列表最后一个元素 redis列表命令 命令 描述 BLPOP key1,key2,…… timeout 移除并获
阅读全文
摘要:以chrome为例,开发者模式中跟页面加载时间相关的是network面板。 network 面板的 DOMContentLoaded和load 打开Network面板后,刷新页面,面板底部有这三个时间: finish:页面最后一个请求截止的时间,如果页面加载完成后,触发了ajax请求,那么该时间会变
阅读全文
摘要:什么是websocket WebSocket是web浏览器和服务器之间的一种全双工通信协议,其中WebSocket协议由IETF定位标准,WebSocket API由W3C定位标准。一旦Web客户端与服务器建立起连接,之后的全部数据通信都通过这个连接进行。通信过程中,支持发送JSON、XML、HTM
阅读全文
摘要:背景 1.charles https抓包需要在手机上安装证书。 2.近期疫情影响,通过openVPN远程办公。 问题现象 按照网上教程配置好charles proxy配置,证书安装的时候,iPhone访问:chls.pro/ssl,出现如下错误: Charles Error Report Name
阅读全文
摘要:最近负责的系统安全要求接入CDN,避免DDOS之类攻击,然后华丽丽踩了两个大坑。回顾问题原因后,发现还是相关人员都对CDN原理不够熟悉、了解导致。 坑一:默认支持的文件上传最大是300M 问题现象: 接入CDN后,连续两个用户反馈视频上传失败。系统对视频最大长度有限制,一开始引导用户确认时长,后来给
阅读全文
摘要:Accept Encoding和Content Encoding Accept Encoding和Content Encoding是HTTP中用来对采用何种压缩格式传输正文进行协定的一对header。工作原理如下: 浏览器发送请求,通过Accept Encoding带上自己支持的内容编码格式列表 服
阅读全文
摘要:HTTP状态码分类 1XX ——信息,服务器收到请求,需要请求者继续执行操作 2XX——成功,操作被成功接收并处理 3XX——重定向,需要进一步的操作以完成请求 4XX——客户端错误,请求包含语法错误或者无法完成请求 5XX——服务器错误,服务器在处理请求的过程中发生了错误 2XX状态码 | 状态码
阅读全文
摘要:结论 3XX开头的HTTP状态码都表示重定向的响应。 301、308是永久重定向;302、303、307是临时重定向。 301、302是http 1.0的内容,303、307、308是http1.1的内容。 301和302本来在规范中是不允许重定向时改变请求method的(将POST改为GET),实
阅读全文
摘要:172.12.34.0/25 1. 子网掩码:用于表示IP地址中的多少位用来做主机号。因为"其中值为1的比特留给网络号和子网号,为0的比特留给主机号"(TCP/IP V1)。 2. 172.12.34.0/25含义: 1. 172.12.34.0——表示一个子网号 2. 25——表示采用子网掩码中国
阅读全文
摘要:一、背景 博主所负责其中一个项目是web页面,在移动端上出现了事件穿透问题,开发介绍问题原因后,发觉是移动web一个知识点,值得记录一下。 二、click与300ms延迟 移动浏览器提供一个特殊的功能:双击(double tap)放大 300ms的延迟就来自这里,用户触碰页面之后,需要等待一段时间来
阅读全文
摘要:PS:近期看了一本思维导图的书,实践一下。
阅读全文
摘要:JSON是javascript原生格式,在JavaScript中处理json数据不需要任何特殊的API或者工具包。 JSON中,有两种结构:对象和数组。 在数据传输流中,json是以文本,即字符串的形式传递的,而JS操作的是json对象,因此,json对象和json字符串之间的互相转换关系是关键。
阅读全文
摘要:背景 最近使用ELK的sentinl进行告警配置,sentinl的邮件通知支持mustache,借此机会学习了mustache相关知识,记录在此。 mustache的思想 mustache的核心是标签和logic less. 标签: 定义模板的时候,使用了{{name}}、{{ systems}}{
阅读全文
摘要:1.Strict Transport Security HTTP Strict Transport Security,简称为HSTS。 作用:允许一个HTTPS网站,要求浏览器总是通过HTTPS访问它。 includeSubDomains,可选,用于指定是否作用于子域名 支持HSTS的浏览器遇到这个
阅读全文
浙公网安备 33010602011771号