随笔分类 - web
摘要:一直以来都对数字证书的签发,以及信任等事情一知半解。总算有个闲适的周末来总结和深入一下相关的知识。 CA: CA(Certificate Authority)是证书的签发机构,它是负责管理和签发证书的第三方机构,是受到广泛信任的机构。一般在我们的电脑中,浏览器里,或者手机里都会内置一批这样的受信机构
阅读全文
摘要:使用设置 这里的设置,我们都以HTTP1.1协议为例子。 设置HTTP短连接 在首部字段中设置Connection:close,则在一次请求/响应之后,就会关闭连接。 设置HTTP长连接,有过期时间 在首部字段中设置Connection:keep-alive 和Keep-Alive: timeout
阅读全文
摘要:主动关闭的Socket端会进入TIME_WAIT状态,并且持续2MSL时间长度,MSL就是maximum segment lifetime(最大分节生命期),在windows下默认240秒,MSL是一个IP数据包能在互联网上生存的最长时间,超过这个时间将在网络中消失。MSL在RFC 1122上建议是
阅读全文
摘要:XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。
阅读全文
摘要:为了支持异步处理,在Servlet 3.0中,在ServletRequest上提供了startAsync()方法: AsyncContext startAsync() throws Java.lang.IllegalStateException; AsyncContext startAsync(Se
阅读全文
摘要:session是web开发里一个重要的概念,在大多数web应用里session都是被当做现成的东西,拿来就直接用,但是一些复杂的web应用里能拿来用的session已经满足不了实际的需求,当碰到这样的情况时候我们需要更加深入的理解session的机制,本文将梳理下session的相关知识,为设计可替
阅读全文
摘要:gzip是一种数据格式,默认且目前仅使用deflate算法压缩data部分; Gzip是一种流行的文件压缩算法,现在的应用十分广泛,尤其是在Linux平台。当应用Gzip压缩到一个纯文本文件时,效果是非常明显的,大约可以减少70%以上的文件大小。这取决于文件中的内容。 利用Apache中的Gzip模
阅读全文
摘要:给服务端发送请求后,服务端会返回一连串的数据,这些数据在大部分情况下都是XML格式或者JSON格式。然后JSON相对XML来说解析相对方便一些,所以先说说JSON的解析。 JSON的基本数据格式有这几种: 1.一个JSON对象——JSONObject {"name":"胡小威" , "age":20
阅读全文
摘要:HTTP(HyperTextTransferProtocol)是超文本传输协议的缩写,它用于传送WWW方式的数据,关于HTTP协议的详细内容请参考RFC2616。HTTP协议采用了请求/响应模型。客户端向服务器发送一个请求,请求头包含请求的方法、URI、协议版本、以及包含请求修饰符、客户信息和内容的
阅读全文
摘要:参照: http://course.ccniit.com/CSTD/Linux/reference/files/018.PDF http://hi.baidu.com/raycomer/item/944d23d9b502d13be3108f61 建立连接: 理解:窗口和滑动窗口TCP的流量控制 TC
阅读全文
摘要:Application Type Text Type Audio Type Video Type Image Type Message Type Drawing Type Java Type Other Type
阅读全文
摘要:最近才开始研究HTML以及安全问题。如果有什么说得不对的地方,望请指出。 在网络应用安全中,XSS可能是最常见,范围最大,所包含攻击方法最多,同时也是最难以理解的一种攻击。在OWASP所列出的十大网络应用安全风险中,其排名第二位,仅次于SQL Injection。 而在本篇文章中,我们将一步一步深入
阅读全文
摘要:由于软件注册的原因,我需要更改hosts文件来防止服务器验证!那么在我们修改这个文件的时 候,修改完成之后发现保存不了,这种情况我们该怎样解决呢,难道就不能修改了吗?下面我们 一起看看解决的方法吧! 由于软件注册的原因,我需要更改hosts文件来防止服务器验证!那么在我们修改这个文件的时 候,修改完
阅读全文
摘要:x509证书一般会用到三类文,key,csr,crt。 Key 是私用密钥openssl格,通常是rsa算法。 Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。 crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自
阅读全文
摘要:1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key文件去除key文件口令的命令:openssl rsa -in server.key -out server.key 2.openss
阅读全文
摘要:网上的文章很多, 但是对摘要的验证流程不够通俗易懂。 QQ截图20160420114804.png QQ截图20160420114804.png 证书预置和申请 1:客户端浏览器会预置根证书, 里面包含CA公钥2:服务器去CA申请一个证书3: CA用自己的签名去签一个证书,指纹信息保存在证书的数字摘
阅读全文
摘要:作者:[已重置]链接:https://zhuanlan.zhihu.com/p/22142170来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 作为开发者必备的网络安全知识,HTTPS一直戴着神秘的面纱。接下来让我们一起深入揭秘HTTPS的安全问题和建立的全过程吧!
阅读全文
摘要:HTTPS证书是什么 https证书是数字证书中的一种,由受信任的数字证书颁发机构CA如[沃通CA]在验证服务器身份后颁发,具有服务器身份验证和数据传输加密 功能,因其要配置在服务器上,所以也称SSL服务器证书或者SSL证书。由合法CA机构颁发的ssl证书遵循ssl协议,通过在客户端浏览器和Web服
阅读全文
摘要:服务端排查 取得客户端直接连接的服务端域名及端口,例如mob.com.cn,端口443,即HTTPS默认端口。针对公网可访问的生产环境地址,建议使用的在线监测工具。https://wosign.ssllabs.com/ Summary部分显示的是总体评分,显示绿色的A即为安全。如果评分低于A,则需要
阅读全文
摘要:什么是ATS功能? ATS是iOS9和OS X El Capitan的一个新特性。开启该功能后,ATS对使用NSURLConnection, CFURL或NSURLSession 等APIs 进行的网络请求默认强制使用HTTPS加密传输,目标是提高Apple 操作系统以及应用程序的安全性。 WWDC
阅读全文