广 告 位 招 租 QQ:527116945
当前位置: 首页 » SEO » seo » 正文

seo网络优化方案

放大字体  缩小字体 发布日期:2022-05-24 01:45:14  来源:seo网络优化方案  作者:he  浏览次数:1
核心提示:seo网络优化方案-HSTS是什么今天和朋友们分享一个seo名词—ETag,HTTP协议规格说明定义ETag为“被请求变量的实体值”。另一

seo网络优化方案-HSTS是什么

今天和朋友们分享一个seo名词—ETag,HTTP协议规格说明定义ETag为“被请求变量的实体值”。另一种说法是,ETag是一个可以与Web资源关联的记号(token)。典型的Web资源可以一个Web页,但也可能是JSON或XML文档。服务器单独负责判断记号是什么及其含义,并在HTTP响应头中将其传送到客户端,以下是服务器端返回的格式:ETag:”50b1c1d4f775c61:df3″客户端的查询更新格式是这样的:If-None-Match : W / “50b1c1d4f775c61:df3″如果ETag没改变,则返回状态304然后不返回,这也和Last-Modified一样。测试Etag主要在断点下载时比较有用。【来自百度百科】

ETag可以助力站点提交Sitmap网站地图,在在百度搜索资源平台是这样解释ETag的作用,正文部分如下:HTTP1.1用ag来判断请求的文件是否被修改,主要为了解决Last-Modified无法解决的一些问题:

1、一些文件也许会周期性的更改,但是他的内容并不改变(仅仅改变的修改时间),这个时候并不希望客户端认为这个文件被修改了重新GET;

2、某些文件修改非常频繁, 1秒内修改了N次,If-Modified-Since能检查到的粒度是秒级的,这种修改无法判断;

3、某些服务器不能精确的得到文件的最后修改时间。

为此,HTTP1.1引入了ETag.但标准并没有规定ETag的内容是什么或者说要怎么实现,唯一规定的是ETag需要放在双引号内。ETag由服务器端生成,客户端通过If-Match或者说If-None-Match这个条件判断请求来验证资源是否修改。我们常见的是使用If-None-Match.请求一个文件的流程可能如下:

第一次请求:

1.客户端发起HTTP GET请求一个文件;

2.服务器处理请求,返回文件内容和一堆Header,当然包括ETag(例如”1ec5-502264e2ae4c0″)(假设服务器支持ETag生成和已经开启了ETag).状态码200,如下图所示,首次请求百度首页时,成功得到百度logo图片文件bd_logo1.png,状态码200,大小8.1KB,返回的Header中包括ETag(“1ec5-502264e2ae4c0”)。

第二次请求:

1.客户端发起HTTP GET请求一个文件,这个时候客户端同时发送一个If-None-Match头,这个头的内容就是我们第一次请求时服务器返回的ETag:1ec5-502264e2ae4c0;

2.服务器判断发送过来的ETag和计算出来的ETag是匹配的,不返回200,返回304,让客户端继续使用本地缓存。如图所示这次对bd_logo1.png的请求,服务器只返回了Header没有返回内容,大小仅为349B。

四、站点启用ETag的好处1.对Sitemap启用ETag后,百度可以更快速地响应Sitemap的更新,没有更改内容的情况下,服务器只发回304应答头,对流量的消耗极小,在每个head平均227B大小的通常情形下,一整天二十四小时每秒都回应的流量消耗仅为18.7M;

2.现在站长平台对每个站点的Sitemap主动抓取次数设有上限,且这项功能没有对所有站开放,如果您的站点Sitemap启用了ETag,并通过了测试,那么就可以用很小的流量享受百度及时更新您的Sitemap的功能,以便于百度更好地收录您网站的内容。

seo网络优化方案-SEO相关(1)

关于勒索软件攻击事件是前段时间刚刚发生的互联网病毒攻击事件,今天转载一篇来自百度安全指数官网所发布的此次事件的报道,感兴趣的朋友可以浏览一下,正文部分如下:

据外媒 6 月 12 日报道,韩国托管商 Internet Nayana 同意向勒索软件攻击者支付 13 亿韩币约合 114 万美元的赎金。Nayana 在 6 月 10 日遭到了 Linux 勒索软件 Erebus 的攻击,300 台服务器有 153 台被加密,数以千计的网站受到影响,攻击者加密了储存原始数据和备份的服务器,使得该公司无法利用备份恢复数据。勒索者一开始索要 826.2 比特币或 27 亿韩币,然后降低到 550 比特币或 18 亿韩币,Nayana 宣布它同意向勒索者支付 13 亿韩币以恢复服务器。黑客提供的密钥解锁了 153 台被加密服务器中的 50 台,该公司表示到月底将能恢复 90% 的服务器。

安全专家表示,勒索软件 Erebus 滥用 Event Viewer 提权,允许实现用户账户控制( UAC )绕过,即用户不会收到允许以较高权限运行程序的提示。此外,勒索软件 Erebus 还可将自身复制到任意一个随机命名的文件中修改 Window 注册表,以劫持与 .msc 文件扩展名相关内容。

一旦 60 种目标文件扩展名遭 Erebus 加密,桌面就会出现一张赎金交纳通知,受害者在点击 “ 恢复文件 ” 后页面将跳转至 Erebus Tor 支付网站。勒索软件 Erebus 赎金金额已由今年 2 月约 90 美元( 0.085 比特币)飞涨至 29,075 美元( 10 比特币 ),最近价格为 15,165 美元( 5.4 比特币)。

勒索软件病毒名称:RANSOM_EREBUS.TOR

加密后的通知信息:

该勒索病毒加密443种文件类型,其中包括下列常用文件类型:

Office文档 (.pptx, .docx, .xlsx)

数据库 (.sql, .mdb, .dbf, .odb)

压缩文件 (.zip, .rar)

电子邮件 (.eml, .msg)

与网站相关的及开发项目文件(.html, .css, .php,.java)

多媒体文件 (.avi, .mp4)

加密文件使用下面命名规则: {加密文件名}.ecrypt

入侵途径:

根据情报信息显示,可能是通过web漏洞(例如:apache漏洞、PHP漏洞、Struts2漏洞等)入侵获取普通账号权限,然后再利用脏牛漏洞本地提权,获取到root权限,进而进一步入侵。

安全防护建议:

1、及时修复安全漏洞,服务/应用使用最新的安全版本;

2、使用百度云加速WAF防火墙进行防御;

3、添加网站至安全指数,及时了解网站组件突发/0day漏洞。了解更多:

http://blog.trendmicro.com/trendlabs-security-intelligence/erebus-resurfaces-as-linux-ransomware/

seo网络优化方案-SEO相关(2)

HSTS是英文HTTP Strict Transport Security的缩写,意思是国际互联网工程组织IETF正在推行一种新的Web安全协议。HSTS的作用主要是强制客户端,特别是浏览器使用HTTPS与服务器创建连接。今天转载百度百科对HSTS的名词解释,感兴趣的朋友可以多了解一下。

国际互联网工程组织IETE正在推行一种新的Web安全协议HTTP Strict Transport Security(HSTS),采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。比如,https://xxx 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向xxx或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http://xxx/ ,浏览器应当自动将 http 转写成 https,然后直接向 https://xxx/ 发送请求。在接下来的一年中,如果 xxx 服务器发送的TLS证书无效,用户不能忽略浏览器警告继续访问网站

HSTS可以用来抵御SSL剥离攻击。SSL剥离攻击是中间人攻击的一种,由Moxie Marlinspike于2009年发明。他在当年的黑帽大会上发表的题为“New Tricks For Defeating SSL In Practice”的演讲中将这种攻击方式公开。SSL剥离的实施方法是阻止浏览器与服务器创建HTTPS连接。它的前提是用户很少直接在地址栏输入https://,用户总是通过点击链接或3xx重定向,从HTTP页面进入HTTPS页面。所以攻击者可以在用户访问HTTP页面时替换所有https://开头的链接为http://,达到阻止HTTPS的目的。

HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

另外,如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS解决了这一问题,一旦服务器发送了HSTS字段,用户将不再允许忽略警告。

用户首次访问某网站是不受HSTS保护的。这是因为首次访问时,浏览器还未收到HSTS,所以仍有可能通过明文HTTP来访问。解决这个不足目前有两种方案,一是浏览器预置HSTS域名列表,Google Chrome、Firefox、Internet Explorer和Spartan实现了这一方案。二是将HSTS信息加入到域名系统记录中。但这需要保证DNS的安全性,也就是需要部署域名系统安全扩展。截至2014年这一方案没有大规模部署。

由于HSTS会在一定时间后失效(有效期由max-age指定),所以浏览器是否强制HSTS策略取决于当前系统时间。部分操作系统经常通过网络时间协议更新系统时间,如Ubuntu每次连接网络时,OS X Lion每隔9分钟会自动连接时间服务器。攻击者可以通过伪造NTP信息,设置错误时间来绕过HSTS。解决方法是认证NTP信息,或者禁止NTP大幅度增减时间。比如Windows 8每7天更新一次时间,并且要求每次NTP设置的时间与当前时间不得超过15小时。

支持的浏览器有:Chromium和Google Chrome从4.0.211.0版本开始支持HSTS

Firefox 4及以上版本

Opera 12及以上版本

Safari从OS X Mavericks起

Internet Explorer从Windows 10技术预览版开始支持,之后微软又向IE11用户推送了支持HSTS的更新。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
 

关键词: seo网络优化方案
 
推荐图文
最新热点文章