Go
话题列表 社区 Wiki 优质外文 招聘求职 Go 实战教程 社区文档
登录
注册
golang http of eudore
展开或关闭
第一章. Home
1.1. Home
第二章. http
2.1. http协议
2.2. https协议
2.3. http2协议
2.4. websocket协议
2.5. cookie
2.6. cors
2.7. csrf
2.8. post提交数据
2.9. server实现部分细节
2.10. 安全相关
2.11. header总结
2.12. 数据存储
第三章. nethttp
3.1. Request对象
3.2. Server对象
3.3. Server源码流程
3.4. Server对象
3.5. websocket协议
第四章. frame
4.1. 基于net/http框架设计思路
4.2. 基于net/http框架个部分总结
4.3. golf框架
4.4. echo框架
第五章. eudore
5.1. Eudore
5.2. Eudore App
5.3. Eudore Config
5.4. Eudore Logger
5.5. Eudore Server
5.6. Eudore路由器
5.7. Eudore 路由核心Radix
5.8. Eudore请求上下文
5.9. Eudore请求处理方法
5.10. Eudore控制器
5.11. Eudore特性演示
第六章. golang
6.1. 基础命令行
6.2. godoc
6.3. 反射
6.4. 系统信号
6.5. 类型转换
第七章. Example App
7.1. New
7.2. 后台启动
7.3. 启动命令解析
7.4. 监听代码自动编译重启
7.5. 静态文件
7.6. 全局请求中间件
7.7. 自定义app
第八章. Example Config
8.1. 解析命令行参数
8.2. 解析环境变量
8.3. Eudore配置
8.4. map配置
8.5. map差异化配置
8.6. eudore差异化配置
8.7. eudore差异化配置
8.8. 配置解析选项
8.9. 读取文件配置
8.10. 读取http远程配置
第九章. Example Logger
9.1. 初始化日志
9.2. LoggerStd
9.3. 日志切割
9.4. 日志清理
9.5. 写入Elastic
第十章. Example Server
10.1. 使用https
10.2. 服务监听
10.3. 双向https
10.4. eudore server启动服务
10.5. fastcgi启动服务
第十一章. Example Router
11.1. 组路由
11.2. 组路由和中间件
11.3. 路由参数
11.4. Any方法注册
11.5. Std路由器
11.6. Host路由器
11.7. 路由器注册调试
11.8. 路由器注册移除
11.9. radix树
第十二章. Example Context
12.1. Request Info
12.2. Response Write
12.3. 请求上下文日志
12.4. Bind Body
12.5. Bind Form
12.6. Bind Url
12.7. Bind Header
12.8. Bind并校验结构体数据
12.9. Query
12.10. Header
12.11. Cookie
12.12. Params
12.13. Form
12.14. Redirect
12.15. Push
12.16. Render
12.17. Params
12.18. Form
12.19. Push
12.20. Send Json
12.21. Send Template
第十三章. Example Context处理扩展
13.1. 默认处理
13.2. 处理ContextData扩展
13.3. 处理自定义函数类型
13.4. 处理自定义请求上下文
13.5. 新增函数处理扩展
13.6. 路径匹配扩展
13.7. 分级匹配扩展
13.8. Rpc式请求
提交改进
本书未发布

2.10. 安全相关

golang http of eudore /

未匹配的标注

XSS

跨站脚本攻击

用户将恶意代码植入到页面中。

防范

转义

CSP

使用CSP减少XSS攻击。

CSP设置禁止内联js和设置js加载来源,js等静态全部写入单独文件。

页面仅保留html,静态资源使用SRI保证内容正确。

webserver添加header或者html页面添加meta实现。

<meta http-equiv="Content-Security-Policy" content="script-src 'self'">

Subresource Integrity (SRI)

SRI翻译为子资源完整性,用来检查阅览器链接中的资源完整性,防止资源被篡改。

例如下列引入js文件:

<script src="https://example.com/example-framework.js" integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC" crossorigin="anonymous"></script>

integrity="sha384-oqVuAfXRKap7fdgcCY5uykM6+R9GqQ8K/uxy9rx7HNQlGYl1kPzQho1wx4JwY8wC" 声明了该资源的哈希摘要值,算法是sha384,后面是哈希值。

integrity值的格式是算法-哈希值,算法存在sha256、sha384、sha512三种,哈希值就是对应算法计算的值。

如果启用SRI后获得跨域资源,非同源域名就需要添加crossorigin="anonymous"属性运行从其他域名加载资源。

强制SRI

SRI一般都未启用,默认也不是必要,但是可以使用CSP强制启用SRI。

例如添加CSP Header,使script和style强制依赖SRI值,如果资源没有SRI值阅览器就会报错,但是部分阅览器不一定支持

Content-Security-Policy: require-sri-for script style;

Content Security Policy

CSP内容安全策略,用于限制html页面加载资源。

CSP规则在线生成

时间攻击

通过比较密码判断时间推测值

反馈和交流请加群组:QQ群373278915

本文章首发在 LearnKu.com 网站上。

上一篇 下一篇
1112
432 声望
精通go http领域除h2调度和h3以外内容.
讨论数量: 0
发起讨论 只看当前版本


暂无话题~

关于 LearnKu

LearnKu 是终身编程者的修道场
做最专业、严肃的技术论坛
LearnKu 诞生的故事

资源推荐

  • 《社区使用指南》
  • 《文档撰写指南》
  • 《LearnKu 社区规范》
  • 《提问的智慧》

    • 服务提供商

    其他信息

  • 成为版主
  • 所有测验
  • 联系站长(反馈建议)

    • 粤ICP备18099781号-6 | 粤公网安备 44030502004330号 | 违法和不良信息举报

    Summer 设计和编码

    请登录

    内容举报
    匿名举报,为防止滥用,仅管理员可见举报者。

    我要举报该,理由是:

    取消