ABOUT CATEGORIES ARCHIVE

Posts tagged with "安全"

There are a total of 15 posts.

只允許已授權的 HTTP 方法:用 Nginx 以 405/444 封鎖雜訊請求

2026-01-23

只允許已授權的 HTTP 方法:用 Nginx 以 405/444 封鎖雜訊請求

本文介紹如何在 Nginx 中以 405 或 444 封鎖非正常 HTTP 方法(如 PROPFIND、MKCOL 等),從前端即時終止請求,降低成本、保持應用日誌乾淨並縮小攻擊面,並提供實用設定範例。

#安全 #nginx #444 #日誌整理 +2
從安全角度看 Pillow 的 open、verify、load 方法

2026-01-15

從安全角度看 Pillow 的 open、verify、load 方法

本文從安全角度剖析 Pillow 的 open、verify、load 方法,說明圖像上傳時如何透過初步辨識、損毀檔案過濾與解碼階段的 DoS 防禦,並以伺服器重新編碼確保安全的實務策略為例。

#django #安全 #pillow #verify +3
在 Django 中使用 X-Accel-Redirect 讓 Nginx 負責檔案傳輸

2026-01-14

在 Django 中使用 X-Accel-Redirect 讓 Nginx 負責檔案傳輸

在 Django 中使用 X-Accel-Redirect 可將檔案傳輸交給 Nginx,減輕應用伺服器負擔並提升下載效能。本文詳細說明設定流程、適用情境、實作範例與安全檢查,適合大檔案或高併發下載服務。

#django #安全 #nginx #x-accel-redirect +2
Django 圖片上傳安全指南:如何高效處理,避免伺服器崩潰

2026-01-13

Django 圖片上傳安全指南:如何高效處理,避免伺服器崩潰

在 Django 網站中實作安全且高效的圖片上傳流程,從檔案大小、MIME、解析度驗證到伺服器端重新編碼,提供完整檢查清單與範例程式碼,協助開發者避免資源浪費與安全風險。

#django #安全 #drf #pillow +3
日志尾随的美学:服务器上穿梭的机器人世界

2025-12-19

日志尾随的美学:服务器上穿梭的机器人世界

实时监控服务器日志,分析通过 `tail -f` 命令出现的各种机器人流量。本文整理了礼貌型搜索引擎、攻击性爬虫及其 IP 范围,帮助你快速了解机器人对服务器的影响,洞察服务器与外部世界的互动。

#安全 #日志尾随 #机器人 #服务器监控 +2
React RCE 事件留下的教訓:為何現在需要 HMAC 簽名、金鑰輪替與零信任

2025-12-08

React RCE 事件留下的教訓:為何現在需要 HMAC 簽名、金鑰輪替與零信任

React Server Components/Next.js 中發生的 RCE(CVE-2025-55182)事件展示了對客戶端資料的無條件信任有多麼危險。本文詳細說明如何透過 HMAC 簽名、金鑰輪替與零信任原則,確保內部 API 與資料完整性,並強調在安全設計中「信任」應被「驗證」取代。

#安全 #react rce #hmac 簽名 #金鑰輪替 +2
惡意機器人無法阻止,改在應用前切斷——在 nginx 階段整理奇怪 URL

2025-12-05

惡意機器人無法阻止,改在應用前切斷——在 nginx 階段整理奇怪 URL

將網頁應用公開後,惡意機器人與掃描器會不斷發送奇怪請求。本文介紹如何利用 nginx 的 444 狀態碼,透過 `blackhole.conf` 先行封鎖這些 URL,降低日誌雜訊、節省 CPU,提升運營效率。

#伺服器運營 #安全 #惡意機器人 #nginx +3
為什麼 Cloudflare 是免費的?:CDN 的原理與「賺錢」的商業模式

2025-12-05

為什麼 Cloudflare 是免費的?:CDN 的原理與「賺錢」的商業模式

本文說明 Cloudflare 為何能免費提供 CDN 與安全服務,探討其商業模式、免費方案對個人部落格與小型服務的好處,以及如何在成長階段自然升級到付費方案。

#安全 #開發者 #cdn #cloudflare +3
在 Django 模型中安全存储秘密密钥(Fernet 版本)

2025-12-04

在 Django 模型中安全存储秘密密钥(Fernet 版本)

在 Django 中安全存储敏感的 API Key 或令牌,最简单有效的方法是使用 Fernet 加密。本文详细介绍了 Fernet 密钥生成、settings.py 配置、EncryptedTextField 的实现、模型应用、搜索与密钥轮换策略,以及完整的安全检查清单,帮助你立即提升服务安全水平。

#django #安全 #fernet #加密 +1
你的 SSH 伺服器安全嗎?透過 SSH 伺服器日誌徹底剖析駭客跡象

2025-11-24

你的 SSH 伺服器安全嗎?透過 SSH 伺服器日誌徹底剖析駭客跡象

透過 SSH 伺服器日誌來識別駭客跡象,並介紹防範暴力破解攻擊與密碼登錄失敗的實戰分析方法。逐步引導讀取日誌,設置 fail2ban 和防火牆。

#ssh #fail2ban #安全 #日誌 +1
SPA和React的必备知识 - 浏览器存储完全指南

2025-11-17

SPA和React的必备知识 - 浏览器存储完全指南

针对SPA和React开发者的浏览器存储(session storage、local storage、indexedDB等)使用指南,汇总了存储类型、使用场景、安全问题、性能提示及实际代码示例,便于直接应用于实践。

#安全 #spa #react #indexeddb +5

2025-11-10

為什麼不應以 root 身份運行容器?

以 root 身份運行容器存在安全風險。包含容器逃脫後獲取主機 root 權限的可能性、最小權限原則及 Dockerfile 的最佳實踐。

#安全 #root #dockerfile #容器

2025-11-10

必須立即隱藏admin的原因

文章整理了立即隱藏Django管理頁面admin的原因和方法,旨在強化安全和提高運營效率的實用指南。

#django #安全 #admin

2025-11-04

Django的get_valid_filename函數活用法

介紹如何利用Django的get_valid_filename函數安全地轉換文件名及其實際應用示例。

#安全 #文件名 #工具
網頁爬蟲機器人:分辨有益存在與有害入侵者

2025-07-15

網頁爬蟲機器人:分辨有益存在與有害入侵者

網站流量的超過一半是由機器人生成的。區分有益的搜索引擎機器人和惡性機器人,從網站伺服器日誌分析到Honeypot,介紹有效的防禦策略。

#waf #安全 #蜜罐 #搜索引擎機器人 +5