HTTPS已成为业界标准，这篇博客将教你申请Let's Encrypt的免费HTTPS证书。 本文的操作是在Ubuntu 16.04下进行，使用nginx作为Web服务器。 1. 安装Certbot Certbot可以用于管理(申请、更新、配置、撤销和删除等)Let's Enc…

Chrome 会自带 XSS 防御，在注入标签的时候回被自动拦截,只能拦截主流的注入形式。 使用得到的 cookie 拿到 token 可以模仿用户的信息和行为进行常规的操作。 通过JS不断创建文件进行请求通过模仿某一服务器对指定服务器进行攻击。 对内容进行做转义，防止恶意的标…

为什么要做Cookie防篡改，一个重要原因是 Cookie中存储有判断当前登陆用户会话信息（Session）的会话票据-SessionID和一些用户信息。 当发起一个HTTP请求，HTTP请求头会带上Cookie，Cookie里面就包含有SessionID。 后端服务根据Ses…