因为工作需要,我们要在用Nginx的负载均衡主机做简单的WAF。需要实现防御XSS、SQL注入或者其它安全问题。
最后,我们找到了Naxsi这个开源的项目。
Naxsi的意思是 ==Nginx Anti XSS & SQL Injection==。 所以它主要是防御XSS和SQL注入的。
还有,要注意Naxsi的过滤器只能处理GET和POST的请求,如果是其他类型的请求请选择其他模块。
Naxsi 依赖一个值得肯定的模型, 有多个优点, 但受一些限制束缚 :
专业的 :
- 快速 : 简约,轻量级运行
- 弹性 : Signature-less的设计允许提高对付混淆/复杂的攻击的弹性
- 独立更新 : Signature-less的设计允许可持续的安全, 即使没有更新
配置 :
- 积极的做法需要一个更重要的白名单机制而不是单靠模型
- 由于Naxsi就像一个网络防火墙, 如果您设置更多安全松散的规则, 您的web应用程序将无法正常保护
上回讲到 Naxsi的 简介和安装 ,这回我们主要讲的是 配置白名单 的方法和技巧。
如果你的服务器安装的是Wordpress或者ruTorrent或者dokuwiki或者drupal,可以直接在 naxsi-rules 下面找到 Naxsi官方 制作的白名单哦~~
如果都没有找到适合的白名单,就只能自己去配置白名单了(/(ㄒoㄒ)/~~ 好桑心)。下面会讲白名单的基础规则的语法哦。
基础规则(BasicRule) 是用来创建白名单的记录。它的语法是
1 | BasicRule wl:ID [negative] [mz:[$URL:target_url]|[match_zone]|[$ARGS_VAR:varname]|[$BODY_VARS:varname]|[$HEADERS_VAR:varname]|[NAME]] |
哪些拦截规则会进入白名单. 正确的语法是 :
本文作者:辰光
最近在coding上观摩了一个可视化音频播放的项目,进而在MDN上研究了Web Audio API,
觉得结合canvas绘图还是非常酷炫的,Web Audio API可以利用AnalyserNode来截取音频源数据,可以是频率,波形或是其他的数据,MDN上有相关的API文档。
在Coding的项目的链接:
https://coding.net/u/luojia/p/Audio-Visualizations/git
个人觉得真是大神,能做得那么炫酷,特地把这个项目下下来自己研究一番。
今儿打算用html来读取音频文件,通过截取音频在canvas上绘图。
首先,需要一个Analyser来截取,而Analyser由AudioContext来创建:
MDN上给出的写法是:
var audioCtx= new(window.AudioContext || window.webkitAudioContext) ();
var analyser = audioCtx.createAnalyser();
考虑兼容性问题,可以这样写: