首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  qgy18  ›  全部回复第 21 页 / 共 54 页
回复总数  1080
1 ... 17  18  19  20  21  22  23  24  25  26 ... 54  
2016-08-29 00:02:30 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
@Quaintjade 例如 firefox 的 uBlock 就会往页面注入 css ,被 block 了也挺好。
2016-08-29 00:01:44 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
@Quaintjade 应该是注入的 css 。
2016-08-28 23:08:18 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
@qgy18 那 CSP2 的 Hashes 又是什么鬼呢?

是时候来一发广告了, https://imququ.com/post/content-security-policy-level-2.html#toc-1-0
2016-08-28 23:05:48 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
@wql 嗯,如果为了追求得分而损失功能或体验,确实得不偿失。

所以我严格安装了 CSP2 的 Hashes 规范处理了内联 style 和 script ,也算是更遵守规范了吧。
2016-08-28 22:08:07 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
放上地址:
https://mozilla.github.io/http-observatory-website/analyze.html?host=imququ.com
2016-08-28 21:59:17 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
终于 A+ 了,把所有 inline script/style 都改为 CSP2 的 Hashes 了:

content-security-policy:default-src 'none'; script-src https: blob: 'sha256-EXpjqnq6bBRKNU86n1jt5PUYCgxDgsOYN9mgQ7FKEqA=' 'sha256-tuN/taV0PwCmTK7/KXJPHfAlzRCRyQEh+ySIHGS/bdQ=' 'sha256-LmqWYXdCMPeaYES0GLxTcg4GG9lRP4ROcbzNCRG7k+0=' 'sha256-8sQo5qZ4ZgO0VeeYu0GN05LDWyCB/4n11qozSbNrUw4='; style-src https: 'sha256-FHhdZjNbbxK6uspgpn8A4MRnv/bTyi96J5BoOP74SVo=' 'sha256-vJR8aVOblGM4d6XxhWU0fCzVI+mvFKpLBHppx/4p3hc='; img-src https: data:; child-src https:; connect-src 'self'; frame-src https://disqus.com;

头部这么多看着真是蛋疼,虽然说有 HTTP/2 的 HPack 。

更为蛋疼的是 safari 仍不支持 CSP2 ,只能 UA 判断下。
2016-08-28 11:17:46 +08:00
回复了 ivmm 创建的主题 分享发现 Mozilla 又给我们带来一个网站安全性跑分! 一大波 A+ 教程即将来袭了吧
https://imququ.com 仅仅是 A , unsafe-inline 目前确实没办法去掉。
2016-08-26 00:13:07 +08:00
回复了 wql 创建的主题 NGINX 为 nginx 启用 Brotli 压缩算法,提高性能
👍 我的博客前几天已经用上了。

这个算法主要是内置了分析大量网页之后提取的字典,所以能在压缩比更高的同时不影响解压速度。
2016-08-22 09:24:22 +08:00
回复了 bsns 创建的主题 分享发现 Chrome app 未来只对 chrome os 支持了
确实大部分 chrome app 都可以转成网页。

postman 这种使用频繁的,官方提供了 electron 版供下载安装使用。
2016-08-21 16:29:35 +08:00
回复了 qcloud 创建的主题 问与答 各位,请教一个我真心无能为力的问题。。。已尝试各种方法。。。
同样感觉是跳转状态码的问题,你这不贴出 DEMO 地址没办法排查问题啊。
2016-08-20 16:05:34 +08:00
回复了 ranran 创建的主题 问与答 HTTP 协议 服务区发送数据给客户端可以 GZIP 压缩 那么反过来也可以?
Demo 地址: https://qgy18.com/request-compress/
2016-08-20 16:00:36 +08:00
回复了 ranran 创建的主题 问与答 HTTP 协议 服务区发送数据给客户端可以 GZIP 压缩 那么反过来也可以?
当然可以!而且我以前就写过相关文章:

https://imququ.com/post/how-to-compress-http-request-body.html
如何压缩 HTTP 请求正文
2016-08-20 14:19:57 +08:00
回复了 fancy20 创建的主题 站长 被 http2 坑了一把,nginx 1.9.15/1.10.0 + http2 + post + safari 有严重 bug
https://imququ.com/post/nginx-http2-post-bug.html

好了,文章写好了。

非常感谢 @fancy20 提供这一信息,我之前一直以为 Nginx 是在主线版和稳定版同时修复的这个问题。
今天才发现, Nginx 当前稳定版根本就没修,这太危险了。

btw , https 是会引入一堆新问题,但现在运营商已经越来越没节操,再难也得上啊。
2016-08-20 12:38:34 +08:00
回复了 fancy20 创建的主题 站长 被 http2 坑了一把,nginx 1.9.15/1.10.0 + http2 + post + safari 有严重 bug
@rrfeng

To avoid unnecessary latency, clients are permitted to send additional frames to the server immediately after sending the client connection preface, without waiting to receive the server connection preface.

客户端可以在建立连接的时候发送其它帧(也应该包括 DATA 帧),但是 Nginx 这时候的 initial window 是 0 ,所以回了一个 REFUSED_STREAM ,这时候部分浏览器直接报错而不是重试。

格式感觉这还是 Nginx 的锅。


@LazyZhu

Nginx 已经明确表示,这个补丁不会移植到 1.10.x 。他们认为: 1.10.x 是稳定版,而 HTTP/2 本来就属于「不稳定」的功能,要用 HTTP/2 就上主线版。

We don't backport features to the stable branch (that's what we call stable, no enhancements). It receives only critical bug fixes. If you use such new, very complicated and actively developing protocol as HTTP/2 then it's naturally that you have to stay with the mainline branch.
2016-08-20 11:22:39 +08:00
回复了 fancy20 创建的主题 站长 被 http2 坑了一把,nginx 1.9.15/1.10.0 + http2 + post + safari 有严重 bug
要避免这个问题,要么升级到 nginx 1.11.0+(第二位奇数表示是 nginx 的主线版本,偶数是稳定版本);要么使用 nghttp2 等其它软件做为 http/2 接入层。

两者风险都挺大的,建议楼主先在生产环境关闭 http/2 。
2016-08-20 11:06:37 +08:00
回复了 fancy20 创建的主题 站长 被 http2 坑了一把,nginx 1.9.15/1.10.0 + http2 + post + safari 有严重 bug
@fancy20
是有这个问题,我之前也遇到了,还研究了一下,我争取本周末写一个文章详细介绍下这个问题。
这个是 nginx 的锅,应该跟 http/2 关系不大。

https://trac.nginx.org/nginx/ticket/959#comment:18
https://blog.crashed.org/fixing-nginx-bugs-with-nghttp2/
2016-08-19 19:55:55 +08:00
回复了 deweixu 创建的主题 宽带症候群 Disqus 最近是不是被墙了啊?
确实是这样,越来越多反馈 Disqus 被墙。
不得不连夜赶做了一个浏览模式,至少先解决看评论的问题。

https://imququ.com/post/first-half-of-2016-blog-analytics.html#simple_thread
2016-08-17 09:21:56 +08:00
回复了 srlp 创建的主题 Node.js 现在 nodejs 网站后端最好的框架/库是啥? koa.js ?
我用过, ThinkJS 还是很不错的。
@welefen
2016-08-15 09:49:31 +08:00
回复了 Nixus 创建的主题 硬件 笔记本一般可以用多久?
2009 买的 Thinkpad x200 偶尔在用,内存换成 4G * 2 ,再加上 Intel SSD ,装 win7 速度还是飞快的。

就是屏幕快不行了。
2016-07-02 10:34:50 +08:00
回复了 qcloud 创建的主题 问与答 如何不启用 https, http/2 怎么启用呢?找了很多资料都没有详细说明呀。。。
HTTP/2 协议本身并没有规定它必须基于 TLS 部署,没有安全层的 HTTP/2 被称之为 h2c ( HTTP/2 Cleartext )。

但目前来看,所有浏览器都不打算支持 h2c 。

如果一个系统的某些环节对安全没有那么高的要求,或者已经通过了其它方案确保了安全,并且客户端和服务端都是自己控制的,部署 h2c 也是一个非常好的选择。

现在很多 HTTP/2 工具和类库同时支持 h2 和 h2c ,完整清单见这里: https://github.com/http2/http2-spec/wiki/Implementations

我的这篇文章就讲到了如何通过 nghttp 这个工具访问 h2c 网站。 https://imququ.com/post/intro-to-nghttp2.html#toc-1

简而言之,各大浏览器几乎可以确定不会支持 h2c 。如果服务端和客户端都是自己控制的,那就可以放心大胆的用 h2c 了。
1 ... 17  18  19  20  21  22  23  24  25  26 ... 54  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1447 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 41ms · UTC 17:25 · PVG 01:25 · LAX 10:25 · JFK 13:25
Developed with CodeLauncher
♥ Do have faith in what you're doing.