Pull to refresh

Подмена (встраивание) спам-ссылок на страницы сайта плагинами браузеров, cpatext, Content-Security-Policy

Reading time 3 min
Views 44K
KidsReview.ru corporate blog Information Security *
Recovery mode
В конце января в логах нашей внутренней системы анализа пользовательских кликов на сайте kidsreview.ru появились сотни переходов по странным линкам вида:

compareiseries.in/goto.php?url=aHR0cDovL24uYWN0aW9ucGF5LnJ1L2NsaWNrLzUyZDhmODY2ZmQzZjViMjYxYTAwNDFjNS82OTIzMy81MDI1OS9zdWJhY2NvdW50
Читать дальше →
Total votes 40: ↑32 and ↓8 +24
Comments 32

Гид по заголовкам кэширования HTTP для начинающих

Reading time 8 min
Views 73K
Website development *
Translation
В статье данные сведения по заголовкам кэширования (ЗК) для HTTP и соответствующее поведение сетей доставки контента (CDN). Если вам хочется разобраться, каким образом заголовки кэширования вписываются в современный веб, или вам просто интересно, о чём говорят ваши коллеги – эта статья для вас.

Если вы уже понимаете преимущества ЗК, и хотите расширить свои знания, я рекомендую вам обратиться к документации от W3.

Что могут ЗК сделать для вас?


Проще говоря, кэширование позволяет хранить веб-ресурсы на удалённых точках по пути от вашего сервера к пользовательскому браузеру. Браузер тоже хранит у себя кэш, чтобы клиенты не запрашивали у вас постоянно одни и те же ресурсы.

Настройки кэширования веб-трафика крайне важны для посещаемых сайтов. Если вы платите за трафик, получаете доход от электронной коммерции, или просто хотите поддерживать свою репутацию хорошего веб-разработчика, вам нужно разбираться в том, как работает кэширование.
Читать дальше →
Total votes 36: ↑33 and ↓3 +30
Comments 8

Эмуляция CORS на стороне клиента: кроссбраузерное решение некоторых пользовательских задач без расширений

Reading time 40 min
Views 22K
Firefox JavaScript *Internet Explorer Google Chrome Browsers
Tutorial

I. В чём проблема



Расширения для браузеров — мощный инструмент продвинутого веб-сёрфинга, самая доступная, развитая и распространённая часть целого ряда инструментов. Однако расширения имеют и слабые стороны: каждый браузер требует знания и применения своих правил и форматов, а это дополнительная сложность для создателя. Расширения не кроссбраузерны, что сразу ограничивает их адресат. Есть попытки обобщить создание расширений, но они могут добавлять уже свою дополнительную прослойку форматов и правил.

Когда расширение улучшает специфические стороны браузерного интерфейса, без него не обойтись. Но некоторые задачи универсальны, не связаны с частными средствами браузера и, тем не менее, без расширения их тоже не выполнить. Одна из таких задач — кроссдоменные XMLHttpRequest запросы, нарушающие политику одного источника.
Читать дальше →
Total votes 9: ↑8 and ↓1 +7
Comments 5

Как использовать HTTP заголовки для предупреждения уязвимостей

Reading time 7 min
Views 102K
HOSTING.cafe corporate blog System administration *Nginx *Network technologies *Apache *
Recovery mode
Translation


Знаете ли вы, что в большинстве случаев уязвимость системы безопасности можно устранить добавив необходимые заголовки ответа?

Безопасность не менее важна, чем содержание или поисковая оптимизация сайта. Тысячи сайтов взламываются из-за ошибок в конфигурации или недостаточной защиты. Если вы владелец сайта или специалист по защите информации, и интересуетесь защитой сайта от кликджекинга, внедрения кода, уязвимостей MIME типов, XSS-атак и т.д., то данная инструкция будет вам полезна.

В этой статье я расскажу о разных заголовках HTTP для использования с различными веб-серверами, сетевой периферией или сетями доставки контента, чтобы повысить уровень защищенности сайта.
Читать дальше →
Total votes 39: ↑34 and ↓5 +29
Comments 28

Экзотичные заголовки HTTP

Reading time 12 min
Views 92K
Information Security *Website development *IT Standards *
Translation

Привет Хабрахабр! В этой статье будут наглядно продемонстрирован результат применения некоторых важных и экзотичных HTTP заголовков, большинство из которых связаны с безопасностью.
Читать дальше →
Total votes 83: ↑80 and ↓3 +77
Comments 35

Прототип RFC HTTP-кодов состояния для ошибок разработчиков (диапазон 7XX)

Reading time 1 min
Views 8.8K
Information Security *Website development *IT Standards *
Ребята с Railscamp пришли к выводу, что текущая спецификация HTTP неполна: ибо у разработчиков есть много способов «прострелить себе ногу» в коде, но нет никакого формализованного способа, чтобы сообщить природу ошибки конечному пользователю :)

Был предложен RFC со следующими кодами состояния (HTTP status codes), сообщающими о причинах ошибки. Предполагается, что эти коды будут включены в спецификации HTTP в диапазоне 7xx.

Коды занимают весь диапазон от 701 до 799 и поделены на 10 групп. Вот некоторые из них:

  • 707 — Can't quit vi
  • 724 — This line should be unreachable
  • 725 — It works on my machine
  • 726 — It's a feature, not a bug
  • 735 — Fucking IE
  • 767 — Drunk
  • 780 — Project owner not responding

Все коды доступны здесь. Приятного чтения!



P.S. Это шутка. Ваш кэп.
Total votes 44: ↑31 and ↓13 +18
Comments 10

Всё о работе с cookie в Python — класс http.cookies

Reading time 4 min
Views 10K
Timeweb Cloud corporate blog Python *
Translation


Модуль http.cookies реализует парсер для cookie, по большей части совместимый с RFC 2109 — документом со стандартами работы с cookie и смежными вещами.

Читать дальше →
Total votes 5: ↑4 and ↓1 +3
Comments 2