共 3 篇相关文章
这篇文章探讨的是如何在用户不知情的情况下,间接推断其浏览器历史记录,这在分析用户习惯或竞品时很有价值。直接读取历史或通过Cookie获取是行不通的,但作者介绍了几个巧妙的“曲线救国”技术方案。 最经典的是利用CSS的 `:visited` 伪类。已访问链接默认为紫色,未访问为蓝色,通过JS检测这种颜色差异,理论上就能判断用户是否访问过特定网站。不过,由于隐私安全考量,Chrome、Safari等主流浏览器已修复此漏洞,目前该方案可能只在IE上仍有效。 另一个更前沿的思路来自2013年的黑客大会,利用HTML5的 `requestAnimationFrame` API进行“时间差攻击”。浏览器渲染已访问和未访问的链接时,从数据库查询URL是否存在会有微小的时间差异,通过高精度计时就有可能推断出访问历史。此外,文章还提到了一个未验证的思路:尝试请求网站的 `favicon.ico` 文件,通过缓存命中导致的响应时间差异来辅助判断。 这些方案从不同角度切入,共同揭示了浏览器在历史记录处理上存在的隐私泄露风险,也提醒开发者需持续关注相关安全更新。
这篇讲的是从实际网站数据出发,拆解HTTP协议中几个关键但常被忽略的环节。作者从QQ空间的完整请求与响应头入手,直观展示了HTTP交互的全貌,比如请求行、状态行以及各头域的格式与作用。文章的核心在于实践对比,作者测试了包括CSDN、腾讯、新浪、百度在内的十余家主流网站,深入分析了`Connection`、`Content-Encoding`、`Server`、`Cache-control`等头域的具体表现。例如,为什么腾讯、新浪等部分大型网站会使用`Connection: close`而非默认的长连接?`Server`头域如何暴露了网站使用的服务器信息(如腾讯内部的QZHTTP、淘宝的Tengine),这又带来了哪些安全考量?这些对比都给出了作者的分析。更重要的是,文章并未止步于分析,而是提供了对应的PHP实现代码,比如如何通过`header()`函数设置`Connection`、`Cache-control`、`Last-Modified`,以及如何利用`if-modified-since`实现304缓存判断。整篇文章将理论知识与大站的实际运维策略、具体的编码实践紧密结合,对于想深入理解HTTP机制并应用于开发的读者来说,提供了非常具象的参考。
这篇讲的是网络安全中一个常见但容易被忽视的漏洞——CSRF(伪造跨站请求),以及如何用一些实用的小招式来防御它。 作者从攻击者如何利用用户已登录的浏览器状态发起恶意请求这一背景出发,清晰地拆解了CSRF的攻击原理。文章的核心在于提供了一系列行之有效的防御方案,重点介绍了业界最常用的双重提交Cookie和基于令牌(Token)的同步模式(Synchronizer Token Pattern)。具体来说,它详细说明了如何生成、验证和传输一个不可预测的令牌,从而确保请求的合法性。 此外,文章还介绍了利用浏览器安全策略进行防御的现代方法,如为Cookie设置SameSite属性(Lax或Strict),这能从源头阻止跨站请求携带身份凭证。文中可能还对比了不同防御手段的适用场景与兼容性考量。整篇文章没有空谈理论,而是直接切入“如何做”,给出的都是可以直接落地的、轻量级的实践建议。对于希望快速为Web应用增加一层安全保障的开发者来说,这些不复杂却效果显著的招式很有参考价值。
