网站服务器

CSRF攻击 CSRF漏洞的发生 相比XSS，CSRF的名气似乎并不是那么大，很多人都认为CSRF“不那么有破坏性”。真的是这样吗？ 接下来有请小明出场~~ 小明的悲惨遭遇 这一天，小明同学百无聊赖地刷着Gmail邮件。大部分都是没营养的通知、验证码、聊天记录之类。但有一封邮件引起了小明的注意： 甩卖比特币，一个只要998！！ 聪明的小明当然知道这种肯定是骗子，但还是抱着好奇的态度点了进去（请勿模仿）。果然，这只是一个什么都没有的空白页面，小明失望的关闭了页面。一切似乎什么都没有发生…… 在这平静的外表之下，黑客的攻击已然得手。小明的Gmail中，被偷偷设置了一个过滤规则，这个规则使得所有的邮件都会被自动转发到hacker@hackermail.com。小明还在继续刷着邮件，殊不知他的邮件正在一封封地，如脱缰的野马一般地，持续不断地向着黑客的邮箱转发而去。 不久之后的一天，小明发现自己的域名已经被转让了。懵懂的小明以为是域名到期自己忘了续费，直到有一天，对方开出了 $650 的赎回价码，小明才开始觉得不太对劲。 小明仔细查了下域名的转让，对方是拥有自己的验证码的，而域名的验证码只存在于自己的邮箱里面。小明回想起那天奇怪的链接，打开后重新查看了“空白页”的源码： <form method="POST" action="https://mail.google.com/mail/h

1.网站域名的地方应该填写网站域名，不能再填服务器IP地址了， 2.针对80端口被占用但又找不到占用的程序时可以反复切换80、81端口然后再重启Apache，可能会正常 3.服务器不要在用phpstudy配置了，容易被黑客攻击 来源： https://www.cnblogs.com/shark1100913/p/11946066.html

​ 新技术的发展，使您能够在网络世界中获得更多便利，云计算技术的发展也是如此。对很多公司来说，当提到托管网站，很多都听说过或正在使用云服务器。云服务器在网站托管方面的广泛流行是有理由的。由于其弹性、可用性和可靠性，它们可能是大多数网站的最佳托管解决方案。但是一台云服务器可以提供更多的东西，而不仅仅是一个托管您网站的地方。葵芳科技为您介绍云服务器如何改变您的网站运营方式。 　　一、基于Web/控制台的管理 　　云服务器通常提供基于web的在线管理平台或控制台，这意味着你可以在任何地方工作。你不需要整天呆在办公室。甚至您可以不用使用笔记本电脑。使用正确的软件，您可以通过平板电脑、智能手机上的远程桌面进行业务管理。安装远程桌面应用程序的平板电脑或任何带有提供SSH访问的软件的设备都可以让您立即连接并工作。 　　二、更丰富的专业管理软件 　　使用云服务器，您可以从云服务器供应商或第三方服务商获取更多专用的IaaS云应用或云服务，可帮助您更加轻松地实现网站或在线资源的管理，并且有效提升智能化管理水平，提升工作效率。 　　三、更便利的资源使用及用量监控 　　有时您想做的工作可能会对你的电脑和网络造成极大的负担。这些工作可以在云服务器中进行，例如实时运行编译原始数据的软件、开发网站爬虫软件等，这些工作都需要长时间不间断的网络连接。这些不方便在个人电脑中执行的任务都可以在云服务器中得以实现。而且

一、什么是鉴权 鉴权（authentication）是指验证用户是否拥有访问系统的权利。传统的鉴权是通过密码来验证的。这种方式的前提是，每个获得密码的用户都已经被授权。在建立用户时，就为此用户分配一个密码，用户的密码可以由管理员指定，也可以由用户自行申请。这种方式的弱点十分明显：一旦密码被偷或用户遗失密码，情况就会十分麻烦，需要管理员对用户密码进行重新修改，而修改密码之前还要人工验证用户的合法身份。 为了克服这种鉴权方式的缺点，需要一个更加可靠的鉴权方式。目前的主流鉴权方式是利用认证授权来验证数字签名的正确与否。 二、网站常见的鉴权认证方式 Session机制 JWT机制 Auth2机制 2.1Session认证的原理 解析：第一次登陆网站的时候，需要填写用户名和密码，之后push到服务器上，因为是第一次注册，服务器先去查看一下用户名是否被人用过，如果已经被人使用，需要重新注册一个用户名，若没有，则可以进行创建。创建有两种方法：第一种是把用户名和密码直接保存在数据库中，这种方法对于服务器来说，有风险，一旦数据库密码被攻破了，数据就会被泄露。第二种方法：数据库不存储明文密码，只存储用户名之后生成一个随机数，之后输入的密码和随机数通过SHA256（单向散列函数）进行处理，把密码加随机数生成一个字符串，把这个字符串（secret）和随机数（salt）和用户名（username）存储起来

搭建前看了下这个 https://www.jianshu.com/p/4e2068e52cef?spm=a2c4e.10696291.0.0.19eb19a4iDJgmH 购买服务器 学生的话，阿里推出了一个叫云翼计划的产品，通过学生认证之后可以享受超便宜的价格，我的账号是支付宝账号，之前就有过学生认证。云翼计划的入口在这儿 云翼计划 。但是我是通过学生组团活动参加的，因为组团活动，可以优惠得到一个一年的免费域名。 阿里云学生组团活动详情介绍 配置服务器 服务器购买成功之后，找到你服务器的公网IP地址。这里我把公网IP隐藏了 设置安全组 服务器需要端口放行，否则你的端口是无法访问的，因为安全需要，所以云服务器存在安全组这个东西。记住常用的端口放行，tomcat 8080端口，mysql 3306端口 https 443和80端口 部署JavaWeb项目 在服务器上部署Java运行环境 Linux安装JDK1.8并配置环境变量 Linux安装Tomcat并配置环境变量 在这里我部署的是简单的web项目，没有用到数据库mysql。所以不用安装mysql。但是我这里也分享下安装mysql的教程： Linux Centos安装Mysql5.7.23 本地项目打包生成war文件 要看以下教程，请先确保你把上面的东西都做好了：Java和Tomcat环境搭好，购买了域名并且可以使用

会话（Session）跟踪是Web程序中常用的技术，用来 跟踪用户的整个会话 。常用的会话跟踪技术是Cookie与Session。 Cookie通过在客户端记录信息确定用户身份 ， Session通过在服务器端记录信息确定用户身份 。 本章将系统地讲述Cookie与Session机制，并比较说明什么时候不能用Cookie，什么时候不能用Session。 1.1 Cookie机制 在程序中，会话跟踪是很重要的事情。理论上， 一个用户的所有请求操作都应该属于同一个会话 ，而另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品都应该放在A的购物车内，不论是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用户C的购物车内，这不属于同一个会话。 而Web应用程序是使用HTTP协议传输数据的。 HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话 。 即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话，必须引入一种机制。 Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前，基本上所有的网站都采用Cookie来跟踪会话。 1.1.1

搭建nginx网站服务器 1、安装nginx服务 使用网络源安装 yum install nginx 2、修改配置文件/etc/nginx/nginx.conf 自定义访问的主目录在/data 没有做DNS服务器就，添加虚拟域名 添加后能后ping通 3、在/etc/nginx目录下新建vhost目录，并在下面建立 www.test.conf 文件 4、将网站放到/data下 5、重启服务并测试 来源： https://www.cnblogs.com/zhuyunlong/p/11917852.html

在一台服务器上搭建多个网站的方法（Apache版） Apache的配置文件一般放置在/etc/httpd/conf文件夹下，httpd.conf是它的主配置文件，在进行配置时可以将虚拟主机的配置文件单独配置，如取名为vhost.conf，然后再http.conf中加入一行包含的语句“Include /etc/httpd/conf/vhost.conf”即可将vhost.conf的配置文件包含进来。 目前在一台服务器上搭建多个网站的方法主要由以下几种： 1、 基于IP地址 这种方法适用于一台服务器有多个IP的情况，但目前阿里云的ECS只允许绑定一个公网IP和一个私网IP，故此方法不适用 2、 基于端口号 这种方法使用不同的端口号来识别不同的网站，实际访问时使用网址加端口号的方式来实现，如 http://port.huigher.cn:80 ， http://port.huigher.cn:81 ， http://port.huigher.cn:82 ，该方式配置后需要在网站后加上端口号来访问不同的网站，适用于网站域名短缺但服务器的端口号充足的情况，缺点是网站后需要加上端口号，不利于用户访问 3、 基于主机名 这种方法使用不同的域名来区分不同的网站，所有的域名解析都指向同一个IP，Apache通过在HTTP头中附带的host参数来判断用户需要访问哪一个网站，如 http://test1

彻底理解cookie，session，token 发展史 1、很久很久以前，Web 基本上就是文档的浏览而已， 既然是浏览，作为服务器， 不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议， 就是请求加响应， 尤其是我不用记住是谁刚刚发了HTTP请求， 每个请求对我来说都是全新的。这段时间很嗨皮 2、但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理会话，必须记住哪些人登录系统， 哪些人往自己的购物车中放商品， 也就是说我必须把每个人区分开，这就是一个不小的挑战，因为HTTP请求是无状态的，所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串，每个人收到的都不一样， 每次大家向我发起HTTP请求的时候，把这个字符串给一并捎过来， 这样我就能区分开谁是谁了 3、这样大家很嗨皮了，可是服务器就不嗨皮了，每个人只需要保存自己的session id，而服务器要保存所有人的session id ！ 如果访问服务器多了， 就得由成千上万，甚至几十万个。 这对服务器说是一个巨大的开销 ， 严重的限制了服务器扩展能力， 比如说我用两个机器组成了一个集群， 小F通过机器A登录了系统， 那session id会保存在机器A上， 假设小F的下一次请求被转发到机器B怎么办？ 机器B可没有小F的

第三次讨论——网站功能的的部分实现 时间：2019年11月19日10:35 地点：主教1328教室 主题：使用JSP，阿里云，脚本完成网站创建。 项目完成目标： 1. 完成对网站界面UI布局的设计，达到对用户来说最舒服的状态。 2. 项目部分文件如下： 3.后台数据库完成创建，使用NaviCat连接后台MYSQL数据库，实现可视化数据库管理。 4.在服务器中，利用脚本快速启动服务器或关闭服务器。 5.目前已实现的部分项目需求： 1）栏目管理功能 2）商品管理功能 3）购物车功能 4）订单管理 5）产品筛选 6）商品评论模块 7）网站的会员管理模块 5.以上全部完成，启动服务器，登录网址： http://115.28.186.80:8080/Demo2GyfNICE/loginmain2.jsp 即可进入界面： 小组讨论照片： 来源： https://www.cnblogs.com/mabangde/p/11893128.html