TLS/SSL协议详解:握手与加密

TLS/SSL协议详解:握手与加密 引言 当你在浏览器地址栏看到那把绿色的小锁,或者网站地址以 https:// 开头时,背后正是 TLS/SSL 协议在默默工作。它保护着你的密码、银行卡信息、聊天记录,让互联网上的数据传输变得安全可靠。 本文将深入剖析 TLS/SSL 协议的完整流程,从握手到加密
作者:Yolo
分类: 网络安全

数字签名与证书:PKI体系

数字签名与证书:PKI体系 数字签名和公钥基础设施(PKI)是现代网络安全的基石。从HTTPS连接到软件签名,从电子邮件加密到区块链交易,数字签名技术无处不在。本文将深入探讨数字签名的原理、实现以及PKI体系的运作机制。 一、数字签名的基本概念 1.1 什么是数字签名 数字签名是一种用于验证数字信息
作者:Yolo
分类: 网络安全

非对称加密:RSA与ECC

非对称加密:RSA与ECC 在上一篇文章中,我们探讨了对称加密算法 AES 和 ChaCha20。对称加密虽然高效,但面临一个根本性问题:密钥分发。通信双方必须事先共享同一个密钥,这在互联网环境下极为困难。非对称加密(Asymmetric Cryptography)的出现彻底解决了这一难题,它使用一
作者:Yolo
分类: 网络安全

对称加密:AES与ChaCha20

在密码学的世界里,对称加密是最基础、最广泛使用的加密方式。它的核心思想很简单:加密和解密使用同一把密钥。就像一把锁,既能锁住也能打开。本文将深入探讨两种现代对称加密算法——AES和ChaCha20,从原理到实践,带你理解它们如何守护我们的数据安全。 什么是对称加密? 对称加密(Symmetric E
作者:Yolo
分类: 网络安全

原型链污染:JavaScript深层漏洞

原型链污染:JavaScript深层漏洞 在 Web 安全领域,原型链污染(Prototype Pollution)是一种独特且危险的攻击方式。它利用了 JavaScript 原型继承机制的特性,通过污染内置对象的原型,影响整个应用程序的行为。本文将深入探讨原型链污染的原理、攻击场景和防御方法。 一
作者:Yolo
分类: 网络安全

DOM Clobbering:HTML注入的另类攻击

DOM Clobbering:HTML注入的另类攻击 网络安全系列第23篇 | 前端与浏览器安全 引言 提到HTML注入,大多数人第一反应是XSS——通过注入<script>标签执行恶意代码。但有一种更隐蔽、更巧妙的攻击方式:DOM Clobbering(DOM覆写)。它不依赖JavaScript执
作者:Yolo
分类: 网络安全

PostMessage跨域通信:安全的陷阱

在现代 Web 应用中,跨域通信是一个无法回避的需求。不同域名、不同窗口、不同 iframe 之间如何安全地交换数据?HTML5 引入的 postMessage API 为这个问题提供了原生的解决方案。然而,这个看似简单的 API 背后,隐藏着许多开发者容易忽视的安全陷阱。本文将深入剖析 postM
作者:Yolo
分类: 网络安全

WebSocket安全:双向通信的风险

WebSocket安全:双向通信的风险 WebSocket 是一种在单个 TCP 连接上进行全双工通信的协议。它解决了 HTTP 轮询的效率问题,让服务器可以主动向客户端推送数据。从实时聊天到在线游戏,从股票行情到协同编辑,WebSocket 已经成为现代 Web 应用不可或缺的技术。 但便利往往伴
作者:Yolo
分类: 网络安全

CSP内容安全策略:深度防御配置

CSP内容安全策略:深度防御配置 CSP(Content Security Policy,内容安全策略)是浏览器层面的一道安全防线,用来限制页面能加载哪些资源、执行哪些脚本。如果说同源策略划定了"谁能访问我",那CSP就是"我能加载什么"。配置得当,它能有效缓解XSS、数据注入等攻击;配置失误,轻则
作者:Yolo
分类: 网络安全

同源策略与CORS:浏览器安全的边界

同源策略与CORS:浏览器安全的边界 在现代Web安全体系中,同源策略(Same-Origin Policy,SOP)是一道不可逾越的红线。它定义了浏览器中不同来源文档之间的交互边界,而跨域资源共享(Cross-Origin Resource Sharing,CORS)则是这道边界上的通行证。理解它
作者:Yolo
分类: 网络安全
共 31 篇文章