cndenis 最近的时间轴更新 cndenis 最近的时间轴更新 | cndenisV2EX 第 18939 号会员,加入于 2012-03-31 18:24:48 +08:00 |
| 用 Lavf 作为 User-Agent 是什么软件/设备 信息安全 cndenis 2024-10-08 21:15:35 PM 最后回复来自 MFWT | 13 |
| 怎么样从网页上扒组件? 前端开发 cndenis 2024-03-07 15:44:13 PM 最后回复来自 78786381 | 4 |
| 除了 VPN,还有什么安全方式在外网访问公司资源? 信息安全 cndenis 2024-03-12 08:39:19 AM 最后回复来自 testcaoy7 | 104 |
| Windows 下浏览 HEIC 图片最佳方案是什么? 1 Windows cndenis 2024-04-11 14:30:48 PM 最后回复来自 keepRun | 20 |
cndenis 最近回复了
106 天前 回复了 Vraw5 创建的主题 V2EX 注意到首页右侧有了 PRO 的广告,但是错过广告就没地方找了 |
充值管一年, 挺良心的广告位. 广告的真实性合法性有审核吗?
189 天前 回复了 weishao666 创建的主题 商业模式 边上有小学中学,出门 200m 就是,怎么利用这个商机 |
摆个扭蛋机应该是最简单的
301 天前 回复了 Arrowing 创建的主题 问与答 [求助] 如何处理美团无声电话骚扰 |
@Arrowing 朋友给我回复, 说发现了美团上卖手机号商家, 已经通知美团做关停处理了, 感谢你提供的线索.
如果后续还有类似骚扰, 可以再 @我, 或者给我发邮件 Y25kZW5pc0BnbWFpbC5jb20=
如果后续还有类似骚扰, 可以再 @我, 或者给我发邮件 Y25kZW5pc0BnbWFpbC5jb20=
304 天前 回复了 Arrowing 创建的主题 问与答 [求助] 如何处理美团无声电话骚扰 |
能把所有的骚扰号码都发出来吗? 我有朋友在移动, 可以帮忙查一下这些号从哪里来的, 有概率能查到
你有手机有 AI 助手吗? 可以让 AI 接听这种电话
你有手机有 AI 助手吗? 可以让 AI 接听这种电话
336 天前 回复了 raw0xff 创建的主题 程序员 响应头设置 Access-Control-Allow-Origin 的意义何在? |
@raw0xff 服务端的配置是给前端提供判断的依据, 不设置的话浏览器不知道哪些是合法的哪些是不合法的.
比如说你同时在浏览器访问银行网站 bank.com 和 恶意网站 evil.com, 你访问 bank.com 的 session/oken 就存在浏览器里, 浏览器就要帮你隔离这两个站点的数据, 避免 evil.com 能拿到这些 session/token.
假如 evil.com 通过某些手段拿到拿到了 token, 带着合法的 token 要你向我转账 1000 元, 后端是没有办法判断这条请求是来自 bank.com 还是 evil.com. 要实现安全就需要浏览器配合, 不可能是纯后端的事.
你可能会说转账这事很关键, 服务端会加更多的验证的机制, 要求手机/证书等等, 但不是每个请求都会有这么多的安全措施的, 比如在 v 站发个贴子就不能要求插着 U 盾才能发吧. 这时浏览器的防御就能起到保护效果.
安全里有一个理念叫纵深防御, 即使后端有判断, 前端也要做判断. 这样能增大攻击成本, 提高安全性.
比如说你同时在浏览器访问银行网站 bank.com 和 恶意网站 evil.com, 你访问 bank.com 的 session/oken 就存在浏览器里, 浏览器就要帮你隔离这两个站点的数据, 避免 evil.com 能拿到这些 session/token.
假如 evil.com 通过某些手段拿到拿到了 token, 带着合法的 token 要你向我转账 1000 元, 后端是没有办法判断这条请求是来自 bank.com 还是 evil.com. 要实现安全就需要浏览器配合, 不可能是纯后端的事.
你可能会说转账这事很关键, 服务端会加更多的验证的机制, 要求手机/证书等等, 但不是每个请求都会有这么多的安全措施的, 比如在 v 站发个贴子就不能要求插着 U 盾才能发吧. 这时浏览器的防御就能起到保护效果.
安全里有一个理念叫纵深防御, 即使后端有判断, 前端也要做判断. 这样能增大攻击成本, 提高安全性.
339 天前 回复了 sazima 创建的主题 程序员 软考机考无法使用小鹤双拼 |
@liuzimin 你应该没用过 98 吧, 用哪个软件没啥区别, 但 98 是另一种编码, 个人感觉有 20%的字编码和 86 不一样
339 天前 回复了 sazima 创建的主题 程序员 软考机考无法使用小鹤双拼 |
@skull 五笔 98 用户已经哭晕了, 机上有五笔但都是 86 的, 切全拼一个字一个字慢慢打. 平常打字的肌肉记忆严重影响输入速度. 反正换机考后我就完全没有报高级的念头了
340 天前 回复了 raw0xff 创建的主题 程序员 响应头设置 Access-Control-Allow-Origin 的意义何在? |
OP 是做服务端的吧, 不理解 CORS 的存在的意义也正常, 我以前也是这么想的. 后来发现这是不同领域的问题, CORS 不是服务端安全需要的东西, 而是要解决的是前端安全的问题, Access-Control-Allow-Origin 是 CORS 的一部分, 是服务端配合前端做的配置.
浏览器需要 CORS 的根本原因是因为需要在 "同一个浏览器" 访问 "不同的网站", 你的网银和诈骗网站是在同一个浏览器上访问的, 尽量避免诈骗网站访问你的服务器是浏览器的任务, CORS 配置就是帮助浏览器完成这个任务而产生的.
因为诈骗网站不在你的域名下, 设置了 Access-Control-Allow-Origin:[你的域名], 浏览器就会阻止诈骗网站向你的服务器发起请求. 这样就实现了浏览的安全.
一般而言 APP 不需要 CORS, 因为一般的 APP 中访问都是写死服务器地址, 不会让用户输入和访问其他域名, 也就没有在 APP 中运行诈骗网站代码的机会, 所以一般来说不需要 CORS.
浏览器需要 CORS 的根本原因是因为需要在 "同一个浏览器" 访问 "不同的网站", 你的网银和诈骗网站是在同一个浏览器上访问的, 尽量避免诈骗网站访问你的服务器是浏览器的任务, CORS 配置就是帮助浏览器完成这个任务而产生的.
因为诈骗网站不在你的域名下, 设置了 Access-Control-Allow-Origin:[你的域名], 浏览器就会阻止诈骗网站向你的服务器发起请求. 这样就实现了浏览的安全.
一般而言 APP 不需要 CORS, 因为一般的 APP 中访问都是写死服务器地址, 不会让用户输入和访问其他域名, 也就没有在 APP 中运行诈骗网站代码的机会, 所以一般来说不需要 CORS.
Select Language