JSONP 劫持入门

  JSONP(JavaScript Object Notation with Padding) 是 JSON 的一种“使用模式”,主要解决跨域读取数据的问题,由此引发的 JSONP 劫持,原理上和 CSRF 类似,诱导用户访问恶意 JS 窃取用户敏感信息,当然还可能造成其他危害,具体取决于能获取到的敏感信息,以及对 callback 函数的处理方式,乌云有很多案例可参考。

WebSocket、Socket、HTTP

  WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议。可以实现服务端主动向客户端推送信息,常用于即时通讯,替代轮询,因为轮询会导致过多不必要的请求,浪费流量和服务器资源,每一次请求、应答,都浪费了一定流量在相同的头部信息上。

浏览器、PHP、MySQL 编码问题

  我们输入一个 URL 到浏览器展现出相应的内容,到底经历了什么?今天不谈 ARP缓存、DNS解析、TCP/IP 握手,谈谈浏览器、PHP、MySQL之间请求的执行流程以及编码转换,编码不统一造成最直接的问题是乱码,还会引发一些安全问题,要合理使用编码函数才能避免这些问题。

MD5长度扩展攻击详解

  MD5长度扩展攻击,简单说就是知道 MD5(secret + message)secret长度前提下,可以推算出 MD5(secret + message||padding||m’),不过 secret 长度也可爆破。这里 paddingsecret 后的填充字节,有固定填充规则;m’ 可以是任意数据,|| 是连接符,可以为空。严格来说也不算是MD5的漏洞,应该说是用法出了问题,比如用 MD5(message + secret) 就可避免。

博客优化和CDN加速

  内容涉及:1. 访问顶级域名自动跳转到www二级域名,在服务端做还是在CDN和域名解析时候做?比如 abc.com 跳转到 https://www.abc.com ; 2. 配置CDN时候域名解析CNAME冲突?MX冲突?A记录冲突? 3. CDN分别给顶级域名和二级域名加速,还是只对二级域名加速? 4. 文章链接更新为 https://www.abc.com/category/abbrlink.html 格式。折腾了这么久,网站配置方面的事情应该可以告一段落了。