網絡與安全

時間 2019-12-05

原文原文鏈接

面試 -- 網絡 HTTP

如今面試門檻愈來愈高，不少開發者對於網絡知識這塊瞭解的不是不少，遇到這些面試題會手足無措。本篇文章知識主要集中在 HTTP 這塊。文中知識來自《圖解 HTTP》與維基百科，如有錯誤請你們指出。文章會持續更新。面試 -- 網絡 TCP/IP 瞭解 Web 及網絡基礎對端傳輸…

前端

CSRF 詳解與攻防實戰

本文從屬於筆者的信息安全實戰中 Web 滲透測試實戰系列文章。建議先閱讀下 Martin Fowler 的網絡安全基礎。

web

CSRF（Cross Site Request Forgery, 跨站域請求僞造）是一種網絡的攻擊方式，該攻擊能夠在受害者絕不知情的狀況下以受害者名義僞造請求發送給受攻擊站點，從而在並未受權的狀況下執行在權限保護之下的操做，有很大的危害性。然而，該攻擊方式並不爲你們所熟知，不少網站都有 CSRF 的安全漏洞。本文首先介紹 CSRF 的基本原理與其危害性，而後就目前經常使用的幾種防護方法進行分析，比較其優劣。最後，本文將以實例展現如何在網站中防護 CSRF 的攻擊，並分享一些開發過程當中的最佳實踐。

面試

HTTP 圖解

俗話說好的開發，底層知識必須過硬，否則再創新的技術，你也理解不深刻，好比 Python web 開發工程師，想要學習任何一個框架，底層都是 http 和 socket，底層抓牢了，學起來會很輕鬆。

算法

HTTPS 理論詳解與實踐

隨着面臨的風險日漸增多，咱們應該將全部的網絡數據當作敏感數據而且進行加密傳輸。已經有不少的瀏覽器廠商宣稱要廢棄全部的非 HTTPS 的請求，乃至於當用戶訪問非 HTTPS 的網站的時候給出明確的提示。不少基於 HTTP/2 的實現都只支持基於 TLS 的通訊，因此咱們如今更應當在所有地方使用 HTTPS。

chrome

圖解 https 協議

簡述 https 的基本原理

編程

理解 TCP（一）：端口

更好閱讀體驗：《理解 TCP 和 UDP》— By Gitbook 端口與進程 TCP 的包是不包含 IP 地址信息的，那是 IP 層上的事，可是有源端口和目的端口。就是說，端口這一東西，是屬於 TCP 知識範疇的。咱們知道兩個進程，在計算機內部進行通訊，能夠有管道、內存共享…

瀏覽器

談談 HTTP 鏈接管理

HTTP/1.1 容許在持久鏈接上使用管道，可是在瀏覽器上卻幾乎不會開啓管道功能，chrome 以前的老版本還能夠在 chrome://flags 裏面來選擇開啓或關閉管道功能，最新的版本已經移除了管道相關選項。爲何不加入管道化鏈接提高性能呢，主要有幾個緣由：其一是管道化持久鏈接實現複雜，容易出 bug，且不易調試。其二是一些不標準的代理致使管道化容易出現不少難以預料的問題，致使開發人員調試十分複雜。

緩存

如何讓前端更安全？——XSS 攻擊和防護詳解

最近深刻了解了一下 XSS 攻擊。之前總膚淺的認爲 XSS 防護僅僅只是輸入過濾可能形成的 XSS 而已。然而這池子水深的很吶。

安全

理解 TCP（三）：鏈接的創建和釋放

更好閱讀體驗：《理解 TCP 和 UDP》— By Gitbook TCP 的整個交流過程能夠總結爲：先創建鏈接，而後傳輸數據，最後釋放連接。三次握手和四次揮手.png 三次握手，創建鏈接 TCP 鏈接創建要解決的首要問題就是：要使每一方可以確知對方的存在。三次握手就像，在…

服務器

九個問題從入門到熟悉HTTPS

女友也是軟件工程專業，由於快要畢業了，最近一邊作畢設一邊學習編程。前兩天她問我 HTTPS 的問題，原本想直接扔一篇網上的教程給她。後來想了一下，那些文章大多直接介紹概念，對新手不太友好，因而我乾脆親自給她解釋一下，順便整理了一份問答錄。 Q1: 什麼是 HTTPS？ BS…

談談對 Web 安全的理解

談談對 Web 安全的理解: 做爲一個前端 er，詳細介紹了 CSRF 攻擊，XSS 攻擊，SQL 注入，SYN 攻擊等等。

給你的 Node.js 項目部署 HTTPS

最近上線了一個面向前端領域技術乾貨的郵件訂閱服務，全站啓用了 HTTPS，因而有了這篇文章來分享一下我是如何部署 HTTPS 的。

掌握 HTTP 緩存——從請求到響應過程的一切（上）

爲何使用 CDN？CDN 緩存都作了什麼？HTTP 頭都用了哪些？

http、https、web 開發、協議、tip/ip、狀態碼等簡要手冊 http 權威指南

一直比較喜歡《http 權威指南》這本書，由於它涵蓋了網絡開發這一塊的不少技術知識，並且比較通俗易懂！我也看了好幾遍，但以爲這本書內容太多了，爲了方便本身對相關概念的印象，因此特別把每個章節的信息提煉出來，方便本身查看，也但願分享給你們看成手冊隨時翻看！固然了，不免由於本身提煉的方法不讀，可能有些地方不能詳盡，因此建議你們先看原書！也但願多 issue！

理解加密算法（三）——建立 CA 機構，簽發證書並開始 TLS 通訊

使用 openSSL 建立本身的 CA 機構，簽發證書並觀察普通 tcp 通訊和 tls 安全通訊的區別，最後將證書用於 https 服務。

理解 TCP（二）：報文結構

更好閱讀體驗：《理解 TCP 和 UDP》— By Gitbook TCP 是面向字節流的，但傳送的數據單元倒是報文段。什麼是報文？例如一個 100kb 的 HTML 文檔須要傳送到另一臺計算機，並不會整個文檔直接傳送過去，可能會切割成幾個部分，好比四個分別爲 25kb 的…

淺談 CSRF 攻擊方式

CSRF（Cross-site request forgery），中文名稱：跨站請求僞造，也被稱爲：one click attack/session riding，縮寫爲：CSRF/XSRF。

Nginx 配置 HTTPS 服務器

Chrome 瀏覽器地址欄標誌着 HTTPS 的綠色小鎖頭從心理層面上能夠給用戶專業安全的心理暗示，本文簡單總結一下如何在 Nginx 配置 HTTPS 服務器，讓本身站點上『綠鎖』。

前端必備 HTTP 技能之 WebSocket 協議詳解

WebSocket 是一個計算機通訊協議，經過一個 TCP 鏈接提供全雙工的通訊頻道。2011 年 IETF 在 RFC6455 文件中標準化了 WebSocket 協議，WebSocket 的 Web IDL 格式的 API 是 W3C 標準化的。

前端經典面試題: 從輸入 URL 到頁面加載發生了什麼？

這是一篇 web 開發的科普類文章，涉及到 DNS, HTTP, 優化等多個方面。

面向前端的 CDN 原理介紹

內容分發網絡（Content delivery network 或 Content distribution network，縮寫：CDN）是指一種經過互聯網互相鏈接的電腦網絡系統，利用最靠近每位用戶的服務器，更快、更可靠地將音樂、圖片、視頻、應用程序及其餘文件發送給用戶，來提供高性能、可擴展性及低成本的網絡內容傳遞給用戶。