web运行时安全
1.输入验证
对传递的数据的格式、长度、类型(前端和后端都要)进行校验。
对黑白名单校验:比如前端传递了一个用户名,可以搜索该用户是否在白名单或者黑名单列表。
针对黑名单校验,比如:
// 手机号验证码登录的时候,需要check一下手机号
async sendAuthCode(phone){if(!_.isString(v))return falseconst phone = phone.replace(/[a-zA-Z]/gi,'')if(phone.length!==11) return falseconst forbidden = ['170','171','165','167']const isR = forbidden.some(item=>phone.startsWith(item))if(isR)return false
}2.身份认证与授权
身份认证(属于node后端责任),核心思想:后端A向第三方服务B端发起请求的时候在请求头添加一个3个字段:
projectKey,appKey,authorization,
其中前两个key是A和B商量好的一串码(比如dfs3290sdf)
authorization是通过给param参数转成md5,混合一堆content-type,uri之类的配合B提供的密钥secretKey进行hmac编码,生成签名signature。
然后B端根据相反的规则解析这三个字段,与自己手上的projectKey,appKey,secretKey进行对比
上代码:
// 伪代码const Authorization = this.getAuthorization('POST', reqParams, this.contentType, this.uri, date, this.secretKey, this.accessKey);const headers = {'Content-Type': this.contentType,'Authorization': Authorization,'projectKey': this.projectKey,'appKey': this.appKey,'Date': date,'X-Forwarded-For': '192.168.42.94'}const options = {method: 'POST',headers};
const res = await this.Fetch(url, options, param);getAuthorization(method, params, contentType, uri, date, secretKey, accessKey): string {const md5 = this.getContentMD5(params);const constToSign = method + '\n' + md5 + '\n' + contentType + '\n' + date + '\n' + uri;// 将constToSign施行utf-8转换const utf8Data = Buffer.from(constToSign, 'utf8');// 使用HMAC-SHA1和密钥进行编码const hmac = crypto.createHmac('sha1', secretKey);hmac.update(utf8Data);const encodedData = hmac.digest();// 使用Base64进行最后的编码const signature = encodedData.toString('base64');return `${accessKey}:${signature}`;}getContentMD5(params) {let contentMD5 = '';const jsonString = qs.stringify(params);contentMD5 = crypto.createHash('md5').update(jsonString).digest('base64')return contentMD5;
}
3.安全配置
4.错误处理与日志记录
5.加密和解密
6.输入过滤
7.限制访问
8.应用程序安全更新
9.规范编码
10.安全审计
相关文章:
web运行时安全
1.输入验证 对传递的数据的格式、长度、类型(前端和后端都要)进行校验。 对黑白名单校验:比如前端传递了一个用户名,可以搜索该用户是否在白名单或者黑名单列表。 针对黑名单校验,比如: // 手机号验证…...
FPGA 与 数字电路的关系 - 这篇文章 将 持续 更新 :)
先说几个逻辑:(强调一下在这篇文章 输入路数 只有 1个或2个,输出只有1个,N个输入M个输出以后再说) 看下面的几个图: 图一( 忘了 这是 啥门,不是门吧 :)也就…...
18 SpringMVC实战
18 SpringMVC实战 1. 课程介绍2. Spring Task定时任务1. 课程介绍 2. Spring Task定时任务 package com.imooc.reader.task...
Rocky Linux 运维工具 dnf
一、dnf的简介 dnf是用于在基于RPM包管理系统的包管理工具。用户可以通过 yum来搜索、安装、更新和删除软件包,自动处理依赖关系,它是yum的继任者,旨在提供更快速、更现代化的软件包管理体验。。 二、dnf 的参数说明 序号参数描述1in…...
浅谈 Linux fork 函数
文章目录 前言fork 基本概念代码演示示例1:体会 fork 函数返回值的作用示例2:创建多进程,加深对 fork 函数的理解 前言 本篇介绍 fork 函数。 fork 基本概念 pid_t fork(void) fork 的英文含义是"分叉",在这里就是 …...
golang 装饰器模式详解
前言 我一直以来对golang的装饰器模式情有独衷,不是因为它酷,而是它带给我了太多的好处。首先我不想说太多的概念,熟记这些概念对我的编程来说一点用处没有。我只知道它给我带来了好处,下面谈谈我的理解。 这种模式可以很轻松地…...
刷题笔记day27-回溯算法2
216. 组合总和 III 这个思路还是,三部曲: 终止条件处理单层节点回溯节点 题中说的是,1到9的数,不能有重复。 k个数,和为n。 那么只要 len(path) k 的时候,判断 n 为0,就可以入切片了。 fun…...
前端架构: 脚手架命令行交互核心实现之inquirer和readline的应用教程
命令行交互核心实现 核心目标:实现命令行行交互,如List命令行的交互呢比命令行的渲难度要更大,因为它涉及的技术点会会更多它涉及以下技术点 键盘输入的一个监听 (这里通过 readline来实现)计算命令行窗口的尺寸清屏光标的移动输出流的静默 …...
【C++初阶】内存管理
目录 一.C语言中的动态内存管理方式 二.C中的内存管理方式 1.new/delete操作内置类型 2.new和delete操作自定义类型 3.浅识抛异常 (内存申请失败) 4.new和delete操作自定义类型 三.new和delete的实现原理 1.内置类型 2.自定义类型 一.C语…...
《PyTorch深度学习实践》第十二讲循环神经网络基础
一、RNN简介 1、RNN网络最大的特点就是可以处理序列特征,就是我们的一组动态特征。比如,我们可以通过将前三天每天的特征(是否下雨,是否有太阳等)输入到网络,从而来预测第四天的天气。 我们可以看RN…...
蓝桥杯算法题汇总
一.线性表:链式 例题:旋转链表 二.栈: 例题:行星碰撞问题 三.队列 三.数组和矩阵 例题: 四.哈希表 五.二叉树 主要方法是递归 主要考察点是遍历:前序,中序,后序遍历,层…...
【MySQL】学习多表查询和笛卡尔积 - 副本
](https://img-blog.csdnimg.cn/21dd41dce63a4f2da07b9d879ad0120b.png#pic_center) ??个人主页: ??热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法 ??个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-N8PeTKG6uLu4bJuM {font-family:“trebuchet ms”,…...
C++设计模式_创建型模式_工厂方法模式
目录 C设计模式_创建型模式_工厂方法模式 一、简单工厂模式 1.1 简单工厂模式引入 1.2 简单工厂模式 1.3 简单工厂模式利弊分析 1.4 简单工厂模式的UML图 二、工厂方法模式 2.1 工厂模式和简单工厂模式比较 2.2 工厂模式代码实现 2.3 工厂模式UML 三、抽象工厂模式 3.1 战斗场景…...
matlab批量替换txt文本文件的特定行的内容
1.下图所示,我想要替换第14行。 2.运行代码后,第14行已经更改为需要的内容。 clc,clear; %%----------------------需要更改的地方------------------------------------ % 设置要操作的文本文件路径,替换为你自己的文件路径 path D:\paper_…...
Qt Creator配置MSVC编译环境、调试环境
在windows上开发,一般使用Qt Creator自带mingw编译器,编译和调试都很方便,安装Qt时勾选后,自动配置完毕。 但是有时候我们需要使用MSVC的编译器,这个时候我们没法直接使用,需要配置环境才能使用࿰…...
)
Linux系统运维命令:终止监听在 TCP端口80上的所有进程(使用lsof,grep,awk组合命令, 终止监听在 TCP某个端口上的所有进程)
目 录 一、需求 二、解决方法 1、解决思路 2、命令 三、实例演示和命令解释 1、实例演示 (1)查看目前有哪些在TCP端口80监听的进程 (2)、使用命令 (3)、查看效果 2、命令解…...
)
开源模型应用落地-业务优化篇(七)
一、背景 在本篇学习中,我们要介绍消息中间件,它可以帮助我们将核心和辅助流程分开,让它们互相独立。同时,还要关注在使用消息中间件时需要注意的地方。并且将这种思想应用到其他实际场景中。 二、术语 2.1、消息中间件 消息中间件是一种在分布式系统中用于处理消息传递的…...
序列化-反序列化--json-xml-protoBuf
序列化和反序列化 数据在网络中传输需要按照一定的规范组成。这些规定的规范有json,xml,protobuf。 序列化 也就是说数据需要通过网络传输时,需要把数据转化为需要的传输格式,所以需要把需要传输的数据生成json或者xml或者protobuf语言格式文件&#…...
ubuntu 配置nacos开机启动
在Ubuntu系统上配置Nacos服务开机启动,可以通过创建systemd服务单元文件来实现。以下是步骤: 创建Systemd服务文件: 打开终端,使用文本编辑器(如nano或vim)新建一个服务文件: sudo nano /etc/sy…...
单节点大数据平台运维脚本
单节点的大数据集群运维脚本 vi /opt/bash/bigdata-operate-script.sh#!/bin/bashsource ~/.bashrc source /etc/profilehostnamebigdata#程序运行必要组件 important_components("kafka" "clickhouse-server" "elasticsearch" "kibana&qu…...
OpenClaw+Python:一键完成工业Python代码的PEP8格式化与常见错误修复
威哥:今天聊个能帮你省半小时日常工作的组合——OpenClawPython自动格式化与错误修复。上个月我给团队的Python爬虫和YOLO推理脚本做了个统一的智能体,现在大家提交代码前只要说一句话,5秒钟就能完成PEP8格式化、导入排序、常见语法错误修复、…...
破解心理健康AI难题:20,000条专业心理咨询语料库实战指南
破解心理健康AI难题:20,000条专业心理咨询语料库实战指南 【免费下载链接】efaqa-corpus-zh ❤️Emotional First Aid Dataset, 心理咨询问答、聊天机器人语料库 项目地址: https://gitcode.com/gh_mirrors/ef/efaqa-corpus-zh 当开发者尝试构建心理健康AI助…...
LFM2.5-1.2B-Thinking-GGUF算法优化解析:从LSTM到轻量级思考模型的演进
LFM2.5-1.2B-Thinking-GGUF算法优化解析:从LSTM到轻量级思考模型的演进 1. 引言:轻量级思考模型的崛起 在自然语言处理领域,模型规模的膨胀一度成为提升性能的主要途径。然而,随着LFM2.5-1.2B-Thinking-GGUF这类轻量级思考模型的…...
单片机驱动直流电机,除了PWM调速,你还需要注意这个‘隐形杀手’——续流二极管
单片机驱动直流电机:PWM调速之外的续流二极管实战指南 当你在深夜调试电机驱动电路,突然闻到一股焦糊味,发现MOS管又烧毁了——这种场景对许多单片机开发者来说并不陌生。PWM调速是控制直流电机的常见手段,但很少有人告诉你&…...
Python的__getattr__代理
Python魔法方法探秘:__getattr__的代理艺术 在Python的动态特性中,__getattr__方法是一个强大的工具,它允许开发者拦截未定义属性的访问,从而实现灵活的代理模式或动态行为处理。无论是构建ORM框架、实现懒加载,还是设…...
基于Ardupilot/PX4固件的VTOL垂直起降固定翼飞行特性优化与参数调校
1. VTOL固定翼飞行特性优化基础 VTOL(垂直起降)固定翼无人机结合了多旋翼垂直起降和固定翼长航时的双重优势,成为近年来的热门机型。在Ardupilot/PX4开源飞控生态中,通过合理配置参数可以实现平滑的模态转换和稳定的飞行性能。我们…...
造相-Z-Image-Turbo亚洲美女LoRA:无需代码,Web界面直接操作
造相-Z-Image-Turbo亚洲美女LoRA:无需代码,Web界面直接操作 1. 产品概述与核心价值 造相-Z-Image-Turbo亚洲美女LoRA镜像是一个开箱即用的AI图片生成解决方案,专为需要高质量亚洲风格人像的用户设计。这个镜像将先进的Z-Image-Turbo模型与精…...
DeOldify图像上色服务案例展示:黑白照片秒变彩色艺术照
DeOldify图像上色服务案例展示:黑白照片秒变彩色艺术照 1. 惊艳效果展示 想象一下,当你翻开泛黄的老相册,那些黑白照片里的场景突然变得鲜活起来——蓝天白云、红砖绿瓦、色彩鲜艳的服饰,仿佛穿越时空回到了那个年代。这就是DeO…...
ESP32 AsyncTCP异步TCP协议栈原理与实战
1. AsyncTCP 库概述:面向 ESP32 的全异步 TCP 基础设施AsyncTCP 是专为 Espressif ESP32 系列微控制器设计的底层异步 TCP 协议栈封装库,其核心定位并非提供开箱即用的应用层服务,而是构建一个零阻塞、事件驱动、多连接可扩展的网络基础设施。…...
VOACAP 软件:从下载安装到首次电离层传播预测实战
1. VOACAP软件初探:短波通信的"天气预报员" 第一次听说VOACAP时,我正被短波通信的频率选择问题困扰。就像渔民出海需要查看天气预报一样,短波通信也需要提前知道"电离层天气"。VOACAP就是这样一个神奇的工具——它能预测…...