主页 > 专属服务器 > > 正文

全站加速_企业邮箱注册哪个_精选特惠

浏览:

全站加速_企业邮箱注册哪个_精选特惠

简介

互联网的默认工作方式是客户端(如浏览器)对服务器上的资源发出请求,然后服务器提供/拒绝请求。我们的请求是在不同的URI方案下提出的,例如HTTP、HTTPS、FTP等。目前,我们将重点讨论HTTP和HTTPS URI方案。HTTP是一种事实上的方案,它是不安全的,因此远远没有在标准生产系统中使用。HTTPS是在SSL/TLS上运行的HTTP,它使内容变得模糊,从而保护其免受窃听者的攻击。

混合内容

使用HTTPS的真正目的是底层SSL/TLS协议将保护我们的数据免受所有嗅探器和窃听者的攻击。然而,就应用程序的安全性而言,这并不能结束我们的责任。如果我们的应用程序通过HTTPS运行,通过不安全的HTTP发出服务器请求,那么我们就有问题了。例如,应用程序可能正在通过SSL运行,但正在通过HTTP访问外部图像、CSS或JavaScript文件。虽然我们启用了证书和加密来保护我们的站点,但是如果交换/通信是通过HTTP进行的,物联网城市,那么所有SSL部署都将被浪费。窃听器/嗅探器仍可能持有此类未受保护的请求,并导致潜在的中间人(MITM)攻击。应用程序中的这种情况称为混合内容。由于浏览器最终会向服务器发出所有请求,云购,因此它们现在已经具备了处理此类情况的能力。IE、Chrome和Firefox目前默认屏蔽"活动混合内容"(讨论如下)。

以前用于发出警告的浏览器可以在控制台中查看。

图1:Firebug控制台用于混合内容屏蔽

现在,浏览器屏蔽了大多数活动混合内容请求。

注意:

Firefox有更好的性能(或与Chrome不同的)"混合内容块"实现。这种差异的存在是由于两种浏览器对活动混合内容的定义不同造成的。Firefox将iframe、xhr和字体混合作为活动类别。Chrome的混合内容阻塞实现不太安全,因为它不阻塞混合iframe,也不阻塞混合xhr。从chrome30开始,混合iframe就被屏蔽了。然而,云服务器 免费,混合的xhr仍然被排除在外。另一方面,Firefox仍然阻止大多数活动的混合内容对象。

WebSocket中的混合内容

WebSocket协议(ws://或wss://)是一种新的应用层协议,它可以轻松地构建快速、全双工通信通道。请注意,ws://或wss://(ws secured)连接通过HTTP/HTTPS会话本身启动,并进行协议升级。有关详细信息,请参阅此链接。因此,根据混合内容的定义,理想情况下,物联网技术与应用,如果通过HTTPS会话启动,则应删除不安全的WebSocket连接ws://并且应将所有服务器配置为通过WebSocket安全的wss://方案进行通信。

混合内容类型

混合内容请求分为两大类,如果要提交请求,则取决于引入应用程序的脆弱性/熵的程度。

例如:

IE

body{宽度:表达式(警惕,'你被抓了!');}

-moz在Firefox中绑定

body{-moz绑定:url(someeviscript.xml攻击);}

防止混合内容阻塞

现在我们公平地承认,混合内容阻塞是由于通过HTTPS会话请求HTTP内容而产生的。所以,为了解决这个问题,我们有一些可以做的和不可以做的!–您需要的任何内容–>

请注意,google字体的URL没有任何类似https://或的方案。这为浏览器提供了根据应用程序呈现的方案来决定请求方案的余地。因此,如果我们访问应用程序的非安全HTTP版本,字体将通过HTTP访问,大数据怎么查询,如果应用程序通过HTTPS访问,则方案将更改为HTTPS。

结论

阻止混合内容是浏览器供应商采取的步骤。理性的背后是相当合法的,然而这是以牺牲开发者的自由和破坏网站的成本为代价的。作为一个开发人员,我可能不太关心混合内容的喧嚣,希望我的浏览器允许。然而,我们不能期望我们的窃听者宽宏大量,因此它应该进入每个web开发人员的最佳实践列表,以避免完全混合内容。

一个警告

解决混合内容阻止的另一个紧迫问题是Chrome设置为删除所有混合内容XHR和WebSocket连接在下一个版本中。这确保了通过HTTPS呈现的应用程序/文档不能启动任何基于HTTP的XHRs或任何ws://连接。Firefox已经封锁混合内容websocket连接一段时间了,这一步确保所有内容现在都通过TLS。

发表评论
验证码: 点击我更换图片

注:网友评论仅供其表达个人看法,并不代表本站立场。

热门文章

  • 亚马逊云_海报cdn_优惠券
    <strong>亚马逊云_海报cdn_优惠券</strong>

    亚马逊云_海报cdn_优惠券

    消费者在哪里?这不是医疗保健领域的"捉迷藏"游戏,而是建立一个全面运转的医疗保健系统所需要的关键缺失要素。让消费者参与进来——作为一个消费...

  • 云解析_svn服务器安装_限时特惠
    <strong>云解析_svn服务器安装_限时特惠</strong>

    云解析_svn服务器安装_限时特惠

    集成/docker/梅索斯/marathonapachemesos是一个用于调度和管理分布式应用程序的开源集群管理器。Mesos几乎就像整个集群是一个单一的集群一样分配CPU和RAM等资源...

  • 云服务器_阿里云服务器账号_哪家好
    <strong>云服务器_阿里云服务器账号_哪家好</strong>

    云服务器_阿里云服务器账号_哪家好

    技术支持副总裁Aileen Wyer和高级系统管理员Maruf Rahman最近与我们坐下来讨论我们的合作伙伴关系如何帮助CAN Capital的遗留备份基础设施现代化,以简化数据管...

  • 消息队列_折枝by困倚危楼百度云_新注册优
    <strong>消息队列_折枝by困倚危楼百度云_新注册优</strong>

    消息队列_折枝by困倚危楼百度云_新注册优

    今天,两位前行业分析师(现在是Veeam高管)讨论了塑造数据保护行业和IT格局的趋势:Jason Buffington@JBuff,前ESG数据保护首席分析师Dave Russell@BackupDave,Ga...

  • 中间件_服务器能干什么_超低折扣
    <strong>中间件_服务器能干什么_超低折扣</strong>

    中间件_服务器能干什么_超低折扣

    Nathan Sielaff,World Vision的系统工程师,负责备份、存储等。他致力于创建一个灵活和敏捷的IT环境,这样组织就不必担心底层基础设施,可以将精力集中在任...

云储存

更多 >
  • <strong>游戏服务器_免费图片cdn_超低折扣</strong>
    游戏服务器_免费图片cdn_超低折扣

    每个人都知道我们的世界变得越来越全球化,但这到底意味着什么,更具体地说,这如何转化为我们的工作生活?在我的营销生涯中,我一直在思考这个概...

  • <strong>域名备案_服务器账号密码_超低折扣</strong>
    域名备案_服务器账号密码_超低折扣

    我目前正在从事一个非常酷和富有挑战性的项目,在这个项目中,我们使用了一些对我来说很新的API和框架。我已经知道ABAP的WebDynpro了。我也很了解平面图...

云储存域名交易_mysql设计数据库_超低折扣
云储存云存储_济南网站建设开发_哪家好
云储存CDN_毛不易不染mp3百度云_哪个好
云储存免备案CDN_百度云怎么分享_返现
云储存谷歌云_金蝉脱壳百度云_免费1年