首页   注册   登录
 xiangyuecn 最近的时间轴更新
ONLINE

xiangyuecn

V2EX 第 225735 号会员,加入于 2017-04-12 20:40:21 +08:00
今日活跃度排名 1545
这个妹纸是谁,好想认识一下
程序员  •  xiangyuecn  •  13 小时 34 分钟前  •  最后回复来自 wjfz
41
ios 12 支不支持录音了?
程序员  •  xiangyuecn  •  26 天前  •  最后回复来自 jhsefu
21
C#中的废物 WebRequest
程序员  •  xiangyuecn  •  32 天前  •  最后回复来自 xeaglex
84
32 位的 notepad++往 system32 文件夹里面写了一个假文件
  •  1   
    程序员  •  xiangyuecn  •  78 天前  •  最后回复来自 flynaj
    3
    关于文本输入输出的一个小想法
    程序员  •  xiangyuecn  •  124 天前  •  最后回复来自 SuperMild
    10
    1kb 的前端 HTML 模板解析引擎,拿去
    程序员  •  xiangyuecn  •  126 天前  •  最后回复来自 ookkxw
    7
    xiangyuecn 最近回复了
    17 小时 37 分钟前
    回复了 xiangyuecn 创建的主题 程序员 这个妹纸是谁,好想认识一下
    @wjfz 图片中这位大姐穿的毛衣 囧
    19 小时 37 分钟前
    回复了 xiangyuecn 创建的主题 程序员 这个妹纸是谁,好想认识一下
    @beny2mor #23 有钱的肥婆可以考虑 哈哈
    1 天前
    回复了 ywgx 创建的主题 程序员 小工具 快速生成 Nginx https server {} 配置
    顺带借楼推销一下我的 nginx 配置生成工具,嘿嘿

    https://github.com/xiangyuecn/Nginx-Windows-Service-Manager
    10 天前
    回复了 baiyun888 创建的主题 30 年后域名将毫无价值
    if 确实是这样的话 then new 搜索引擎这玩意应该和域名一样算是古董吧({


    Jarvis (钢铁侠的 AI 管家)
    是钢铁侠的 AI 管家,超智能软件,能独立思考,会帮助钢铁侠处理各种事务,计算各种信息。钢铁侠的机甲开发以及方舟反应炉的更新都离不开它的协助。在 Tony.stark (小罗伯特。唐尼)穿上盔甲时,它还会自动进行虹膜扫描,以确保机甲非外人侵入。

    }).exit(0)
    14 天前
    回复了 SukkaW 创建的主题 程序员 BootCDN 应该是停止服务了
    已中招。。。唯一用到的一个引用: https://cdn.bootcss.com/jquery/1.9.1/jquery.min.js

    233333,已换百毒的 https://apps.bdimg.com/libs/jquery/1.9.1/jquery.min.js 这种 cdn 就算我不玩了 也会存在吧 (滑稽
    15 天前
    回复了 Deville 创建的主题 程序员 还有两个小时放假,进来吹逼啊
    滴!....准点报时
    @zn #23 引用一句上个贴子人家说的话:半桶水的大佬厉害了

    哈哈

    楼上那些大佬没搞明白什么原理就喷,够水的。楼主分享的东东不错,学到了一点安全知识
    @iwtbauh #71 嗯,遇到过阻止混合内容的情况,以前有次把 http 切换成 https 的时候,功能正常,但图片都没法显示,上线 10 分钟立马回滚,后面发布新版本里设置浏览器允许混合内容后才恢复 https (仅 Android app )。

    ----

    刚刚把 Secure 选项加到了 SetCookie 方法里

    代码写的丑,@yc8332 被你言中,满意否~
    @iwtbauh 哈哈,刚才没有细看,现在细看了一下,你说的是对的。我收回#65 @ 你 的的第二句。其实我是对你说#11 中“再访问不是 https 的 b.com ”这一句有开始有蛮大意见,https 的 b.com 也是同样的效果。

    #70 “ b .c o m 没有用 https 引用 a.c o m 的资源”也同样有意见。是这样咩
    @t6attack #60 非也~

    -----

    你们要的 [简单原理]
    根本原因在于 https://exp.com 设置的未带 Secure 选项的 cookie,http://exp.com 发起的请求(划重点,是发请求时,发请求时。。跟响应无关)也会带上此 cookie,从而可以达到中间人"主动提取"用户浏览器中存储的 cookies。

    ------

    [威胁项]
    懂了吗?就算上了 https,确实还是要注意一下的地方。


    @mytry 针对楼主的 “访问任何一个 HTTP 网页,各大网站的 cookie 都会瞬间泄露” 虽然有点危言耸听, [不过细思极恐] 。


    @iwtbauh #11 除了链接非常有用,其他的都是瞎几把扯淡。a 站的 cookie 泄露,跟 b 站是不是 https 没有关系不大,也跟 b 站是 http 还是 https 引用的 a 站资源关系不大。
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2814 人在线   最高记录 3762   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 33ms · UTC 04:35 · PVG 12:35 · LAX 21:35 · JFK 00:35
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1