的主体写入低级别的客体;为了保证完整性,MAC 不允许高级别的主体读取低级别的客体,不允许低级别的主体写入高级别的客体。这么说有些难以理解,我们可以这样来记:机密性不能低读、高写;完整性不能高读、低写
来自:05 | 访问控制:如何选取一个合适的数据保护方案?
7 人划过
因此,从另一个层面来说,安全的本质就是保护数据被合法地使用。怎么才叫“被合法地使用”呢?我们可以从机密性、完整性、可用性这 3 个方面具体来看。这也是在安全领域内最为基础的 3 个安全原则。
来自:01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
6 人划过
所谓“盐”,就是一串随机的字符,是可以公开的
来自:03 | 密码学基础:如何让你的密码变得“不可见”?
3 人划过
第一个是通过使用最精简的基础镜像,来删减 Docker 镜像中不必要的功能,从而降低出现漏洞的概率。第二个则是采取最小权限原则,以低权限用户来执行服务,限制黑客的能力。
来自:15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
3 人划过
但是,想要维持应用内的登录状态,应用还是得颁发自己的登录凭证。
来自:04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
3 人划过
使用 Cookie 进行认证;
来自:08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
3 人划过
预防 XSS 主要通过对用户内容的验证来完成。首先,我推荐在需要展示用户内容的时候去进行验证,而不是当用户输入的时候就去验证。在验证过程中,我们优先采用编码的方式来完成。如果编码影响到了业务的正常功能,我们就可以采用白名单的检测和过滤方式来进行验证。除此之外,我们可以根据业务需要,配置合适的 CSP 规则,这也能在很大程度上降低 XSS 产生的影响。
来自:06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
3 人划过
大部分情况下,事前防御属于认证,事中防御属于授权,事后防御属于审计
来自:02 | 安全原则:我们应该如何上手解决安全问题?
3 人划过
*精彩内容为该课程各文章中划线次数最多的内容
讲师
何为舟
前微博安全研发负责人
编辑推荐
包含这门课的学习路径
架构师
28门课程 151.9w人学习
运维工程师
32门课程 149.1w人学习
测试工程师
18门课程 93.7w人学习
看过的人还看了
