《This API is So Fetching》
- 地址
- 主要内容
- Fetch API 替代 XMLHttpRequest
- 用Fetch 修正 XHR的一些缺陷
- Fetch 优化点
- 改善离线体验
- 保持可扩展性
- 扩展内容
《基于 Redis 的分布式锁到底安全吗》
- 地址
- 主要内容
- Redlock算法(主要解决单个分布式锁不安全的问题)
- 基于单Redis节点的分布式锁
- 感想
- 作者分析的还是很有道理的
- 分析的内容还是很有用的,从简单的原理开始慢慢的深入,想学习分布式锁相关知识的可以好好看看
- 一些基础知识点对我们写程序还是很有帮助的,比如redis设置一个键的值并且设置过期时间,你是一句完成呢,还是分两句?
《程序猿必读-防范CSRF跨站请求伪造》
- 地址(地址比较长,内容很重要)
1. https://github.com/mylxsw/growing-up/blob/master/doc/%E7%A8%8B%E5%BA%8F%E7%8C%BF%E5%BF%85%E8%AF%BB-%E9%98%B2%E8%8C%83CSRF%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0.md - 主要内容
1. 什么是CSRF
2. CSRF的危害
3. 产生原来以及利用方式
4. 防范原理 - 扩展内容
- 《从零开始学CSRF》 http://www.freebuf.com/articles/web/55965.html
- http://www.freebuf.com (这个网站内容很nice,都是和安全相关的,大部分内容都是手把手教,教程很详细,想要防御必定先懂得攻击)
- 感想
- 安全方面是程序员很容易忽视的一点
- 很多程序员都以为功能完成了就好
- 忽视了代码中的安全
- hash、签名算 法最好不要用md5,sha1 , 很多浏览器都不支持用md5、sha1
- 《SHA-1 加密算法破解现已只需要 10 天》 http://www.oschina.net/news/66889/sha-1-break-only-need-10-days
- 《紧随Mozilla:微软计划提前放弃支持SHA-1证书 》https://www.oschina.net/news/67824/microsoft-sha-1-certificates
- 使用安全性更高的 sha256 sha512 算法
《JSON Web Token - 在Web应用间安全地传递信息》
- 地址
1. http://blog.leapoahead.com/2015/09/06/understanding-jwt/ - 主要内容
1. JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
2. 主要介绍jwt的实现原来 - 拓展内容
1. 《八幅漫画理解使用JSON Web Token设计单点登录系统》 http://blog.leapoahead.com/2015/09/07/user-authentication-with-jwt/
2. 使用场景
1. 单点登录
2. 信息校验
3. 非敏感信息传递 - 注意点
1. 一定不要存敏感信息,数据是明文的,只是加了签名
