-
正则表达式 ReDoS 完全指南:从一次"一个字符串把 CPU 打满、worker 卡死几十秒"看懂灾难性回溯
2021 年我做一个 Web 表单服务每个提交进来都要校验一堆字段邮箱 URL 手机号写正则这件事我压根没多想第一版我做得很省事写正则不就是描述出我想匹配的字符串长什么样能匹配上就行我对着邮箱的样子写一串 pattern 用 re.match 一套匹配上返回真匹配不上返回假就完事了本地开发时真不错我填几个正常的邮箱正则稳稳地判对几行代码搞定我心里很踏实可等这个服务真正上线面对成千上万个真实用户一串…- 5
- 0
-
文件上传安全完全指南:从一次"一个大文件把服务器内存撑爆"看懂大小校验、类型验证与路径穿越
2021 年我做一个系统有一个文件上传的功能用户上传头像上传附件上传资料接收文件保存文件这件事我压根没多想第一版我做得很省事文件上传不就是接收前端传来的数据把文件保存到服务器的目录里用户给个文件我 read 读出来按它的文件名 open 写下去就完事了本地开发时真不错我自己挑张几十 KB 的头像传上去文件稳稳躺进了上传目录再访问一下原图分毫不差几行代码搞定我心里很踏实可等这个功能真正上线暴露在公网…- 0
- 0
-
JWT 鉴权完全指南:从一次"用户改了密码、旧 token 却还能畅通无阻登录三天"看懂无状态令牌
2023 年我给一个后台系统做登录鉴权。我听说 JWT 现在很流行无状态不用查数据库天生适合分布式于是就用了它。第一版我做得很省事用户登录成功我就把用户信息打包成一个 JWT 签发出去用户之后每次请求带上这个 token 我解开验一下放行。本地一测完美登录带 token 访问接口一气呵成。我心里很踏实鉴权嘛不就是签发一个 token 用户带着它来我解开验一下身份就行了。可等它真正上线面对真实的用户…- 0
- 0
-
OWASP Top 10 完全指南:Web 应用最重要的 10 类安全威胁
OWASP Top 10 是 Web 安全的"必读清单",每 3-4 年更新一次,反映当下最严重的应用层安全问题。但很多团队对它的认识停留在"听说过",真到了开发中并没系统防护。这篇文章把 2021 版 OWASP Top 10 完整讲透,所有威胁配真实代码示例和修复方案,2024 年新趋势也会提到。 A01 Broken Access Control(失效…- 0
- 0
Web安全
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×