openssl载入私钥unable to load Private Key错误
今天在使用openssl生成公钥的时候遇到了一个坑,遇到了无法载入私钥的报错信息如下: 排查半天,发现是私钥的格式不对,需要进行格式化,使用如下命令: 文件需要每行为64个字符,超出的话就会报上面的错误,这里记录下,有遇到相同问题的朋友可以试试这么解决。
网站服务器安全优化-CSP内容安全策略
今天SEO禅要来聊聊CSP(Content Security Policy)内容安全策略,这是HTTP层的内容,主要目的就是设置安全白名单,前面SEO禅已经介绍过XSS跨站脚本攻击,CSP的作用主要就是防止加载不安全的内容,就算网站有可以注入JS脚本的地方,只要不加载和访问外部资源,也会相对安全些。 如何启用CSP 启用CSP的方法有两种:服务器配置Http…
网站服务器安全优化-CORS跨域资源共享
做过前端开发的小伙伴肯定会遇到下面这样报红的error经历: 如果没有遇到,那你就还需要多努力努力了,这个错误就是今天SEO禅要说的CORS(Cross-origin resource sharing)跨域资源共享,这是在前端开发中再常见不过的问题,比如我们本地开发,使用的域名地址是localhost,或者IP如192.x.x.x之类的,如果请求后端API服…
使用Charles进行抓包–代理服务器proxy(非共享WIFI热点)方式
SEO禅好久没更新文章了,主要是忙(偷懒),最近在做Webview H5的项目,在线上调试有时候很麻烦,有时候还需要用到抓包,因为最近换了新的Macbook Pro M1的机子,无法同时共享热点又连接WIFI,所以想要抓包手机比较麻烦,需要接一个Type-C转接口,连上网线,这种蛋疼的多捣腾几次就觉得烦人,后面看到测试的同事使用Fiddler代理的方式,SE…
2021网站服务器安全优化-用户认证安全
在网站服务器安全优化方面,有一个方法是最简单,又最高效的,也是最容易被人忽视的,那就是用户认证安全,还记得SEO禅在初中的时候,最常做的事就是跑到网吧,开个自动扫3389的脚本,用弱密码去爆破,我们那时候使用的爆破字典都是超级简单的,不要小看这种『小伎俩』,真的能扫到很多服务器,当然基本上会留下一个提示文本,告诉管理员,服务器密码设置太简单,被爆破之类的提示…
2021网站服务器安全优化-跨站请求伪造攻击CSRF
SEO禅在上一篇文章跨站脚本攻击XSS中介绍了客户端最常见的安全攻击漏洞,今天再来介绍一个同样很热门的一种攻击方法CSRF跨站请求伪造攻击,CSRF英文全称:cross-site request forgery,和XSS都有Cross-Site,但是他们的概念并不相同,XSS主要是通过获取受害者的Cookie,之后通过使用Cookie来完成攻击操作,而CSR…
2021网站服务器安全优化-跨站脚本攻击XSS
前一段时间SEO禅介绍了WebPageTest这个网站测速SEO工具,其中第一项分数就是安全测试,今天SEO禅就来分享一下关于如何防止网站被跨站脚本XSS攻击,首先还是老套路,做这件事之前我们要知道这东西是什么,XSS是Cross Site Scripting的英文缩写,不是应该是CSS吗?理论上是,但是CSS和我们HTML中的CSS样式一样缩写,后来我们都…