V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  qgy18  ›  全部回复第 34 页 / 共 55 页
回复总数  1084
1 ... 30  31  32  33  34  35  36  37  38  39 ... 55  
@ivmm 自己托管肯定没有任何问题。 SRI 是为了解决以下场景而提出的:
1 )必须使用 CDN 。原因可以是节省流量费用,也可以是给用户更好的体验,等等;
2 )担心 CDN 被入侵,导致文件从源头上被篡改,从而给主站带来安全风险;

其中第二点, HTTPS 或者 CSP 都无法解决。

另外实际使用 SRI 时,我们一般会做个降级,当 CDN 无法加载时走本地的,保证可用。代码示意如下:
<script src="https://cdn/jquery.js" crossorigin="anonymous" integrity="sha256-xxx"></script>
<script>
if(!jQuery) {
document.write('<scr' + 'ipt src="https://local/jquery.js"></scr' + 'ipt>');
}
</script>
1 、 HTTPS 可以保证第三方脚本被中间人劫持、篡改;
2 、 HTTPS 避免不了源站上的修改。类似楼主说的某某公司修改代码盗取 Cookie ,或者源站被入侵导致内容被篡改;

对于第 2 点, Web 应用安全工作组提出了一个方案叫: Subresource Integrity 。
简单原理就是你先自己审计第三方文件内容,如果觉得没问题,在引入这个文件时带上 HASH 值,之后浏览器会自动帮你检测这个文件是否被修改,如果修改了就拒绝加载。

详见我的博客:
https://imququ.com/post/subresource-integrity.html
2016-01-26 20:54:59 +08:00
回复了 kalsolio 创建的主题 NGINX 使用 nginx 网站开启 http2 之后 是不是 ie 用户就无法正常使用了
@kalsolio http/2 必须 tls v1.2+
2016-01-26 20:54:01 +08:00
回复了 kalsolio 创建的主题 NGINX 使用 nginx 网站开启 http2 之后 是不是 ie 用户就无法正常使用了
帮顶一下武汉的公司~
2016-01-25 23:36:19 +08:00
回复了 qgy18 创建的主题 V2EX 已手动连续签到 300 多天,这还有救么?
@javaluo 区分不了手动和签到机
我们这种纯手动才是真爱呐
2016-01-25 20:15:28 +08:00
回复了 baozijun 创建的主题 分享发现 推荐个占用内存很低的 chrome 去广告插件 uBlock Origin
都用了好久好久啦。
2016-01-25 18:09:29 +08:00
回复了 qgy18 创建的主题 V2EX 已手动连续签到 300 多天,这还有救么?
@cxbig 坐等 @livid 给出官方解释。
反正我真的是一天也没落下。
2016-01-25 13:58:36 +08:00
回复了 qgy18 创建的主题 V2EX 已手动连续签到 300 多天,这还有救么?
哈哈,原来大家都一样。。。
2016-01-25 13:20:35 +08:00
回复了 qgy18 创建的主题 V2EX 已手动连续签到 300 多天,这还有救么?
@moname
@Love4Taylor
@lifanxi

哈哈,看来我还差得远啊。
2016-01-25 13:11:46 +08:00
回复了 qgy18 创建的主题 V2EX 已手动连续签到 300 多天,这还有救么?
@liangguan5 你牛!
2016-01-25 09:37:03 +08:00
回复了 hongfeiyu 创建的主题 Blogger 你们的博客上有多少文章了,来晒晒吧
@binjoo typecho ?
2016-01-25 08:43:39 +08:00
回复了 hongfeiyu 创建的主题 Blogger 你们的博客上有多少文章了,来晒晒吧
话说 lz 注册域名时手抖了么
hogn => hong
2016-01-25 08:30:26 +08:00
回复了 hongfeiyu 创建的主题 Blogger 你们的博客上有多少文章了,来晒晒吧
又可以发博客地址了。 08 年到现在,才 100 多篇。
https://imququ.com
@xcaspar 做为经历了百度有啊从需求讨论 mrd 评审到开发到上线到拿总裁特别奖到身边各种人离职到准备转型为爱乐活的员工( 2008 - 2011 ),那天看到「百度有啊」这个尘封已久的名字,唏嘘不已。
2016-01-23 21:32:32 +08:00
回复了 sky170 创建的主题 NGINX 编译 nginx-ct 总是失败怎么破
@sky170 禁用 warning 试试?死马当作活马医。。。
export CFLAGS="-Wno-error"
2016-01-23 21:25:42 +08:00
回复了 youling 创建的主题 云计算 放在阿里云上的博客部分页面被拦截怎么办?
用 HTTPS 可能会好点,理论上阿里就无法劫持你的页面。
但后果可能是直接给你封机器、封 IP 了。
2016-01-23 20:56:18 +08:00
回复了 nealfeng 创建的主题 分享发现 mpv 系列真是个好视频播放器!
mpv 配合 you-get 使用,疗效更好噢!
https://you-get.org/
@powtop 大部分提供云主机的服务商都支持通过 api 自动部署、销毁实例。选择按量计费,运行投票脚本后就马上销毁,确实花不了多少钱。

解决了 IP 问题,再通过 PhantomJS 一类的无界面 webkit 可以更好的绕过去各种检测。

无意冒犯,然而我感觉在招聘贴里写这个,有让人认为你们工作不饱和的嫌疑。另外看到别人刷票所以自己也要刷,还各种想办法刷赢别人,有点小孩子脾气。。。
@lijinma 明白了!那这段真跟前面没啥关系,我还以为是要表达他们粉丝多呢
1 ... 30  31  32  33  34  35  36  37  38  39 ... 55  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2866 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 09:20 · PVG 17:20 · LAX 01:20 · JFK 04:20
Developed with CodeLauncher
♥ Do have faith in what you're doing.