什么是JWT？JWT全称是JSON Web Token，这是一个开放的RFC7519标准，它定义了在两者之间使用JSON安全传输数据的准则。传输的数据是可信的，并且是可验证的，因为数据已经添加了数字签名。签名可以用密钥或者是RSA密钥对签名。有什么特性呢？体积比较小，可以作为URL，POST数据等的参数，也可以放在HTTP头里面传输。另一方面，小意味着传输比较快。里面包含的信息都是可以直接拿来用的，避免了去数据库查询。什么时候应该使用JWT？典型场景：身份验证：这个是JWT最常用的场景了。一旦用户登录，之后的请求都需要带上JWT信息，验证通过之后才能访问授权的资源。比如单点登录，手机APP接口等。信息交换：因为JWT的数据是签名之后的数据，这样可以保证安全。JWT的数据结构由三部分组成，每一个部分是用点（.）分割的：Header（头）；Payload（数据）；Signature（签名）。所以，典型的JWT数据格式看起来像这样：xxxxx.yyyyy.zzzzz；Header头部包含两部分，token的类型，固定的JWT；哈希的算法，比如HMAC SHA256或者RSA。一般hash25...

在理论篇我们基本了解了DNS的整个协议原理，但是可能还会有着下面的疑问：为什么我想申请的域名都没了？DNS 域名还要备案，这是为什么啊？如何将刚申请的域名绑定到自己的网站呢？怎么才能看到那些在背后默默给我解析的域名服务器呢？他们说用一个什么文件就可以访问好多好多不存在的网站，是真的吗？可信任的域名服务器是怎么一回事，难道有些域名服务器会做坏事？怎么知道我现在用的域名服务器有没有使坏呢？……我不准备一个一个地去回答这些问题，不过相信我，读完本文，对于上面问题的答案你会有一个清晰的认识，并且可以解决其他各种各样关于 DNS 方面的问题。域名注册、绑定首先明确一点，每个人都可以去注册域名。大多数时候我们希望去注册一个顶级域名（比如selfboot.cn, google.com等），那些二级域名毕竟不够好记（比如github托管博客的域名：username.github.io）。有的顶级域名（比如.tk域名）提供免费的一年域名试用，不过绝大多时候还是要为自己的域名付费的（一般是按年付费，也不是很贵）。要想去注册域名，首先得找到域名注册商，国内的比较著名的有DNSpod等，国外的有godaddy...

对于 DNS(Domain Name System) 大家肯定不陌生，不就是用来将一个网站的域名转换为对应的IP吗。当我们发现可以上QQ但不能浏览网页时，我们会想到可能是域名服务器挂掉了；当我们用别人提供的hosts文件浏览到一个“不存在”的网页时，我们会了解到域名解析系统的脆弱。然而关于DNS还有一大堆故事值得我们去倾听，去思考。DNS 源起要想访问网络上的一台计算机，我们必须要知道它的IP地址，但是这些地址（比如243.185.187.39）只是一串数字，没有规律，因此我们很难记住。并且如果一台计算机变更IP后，它必须通知所有的人。显然，直接使用IP地址是一个愚蠢的方案。于是人们想出了一个替代的方法，即为每一台计算机起一个名字，然后建立计算机名字到地址的一个映射关系。我们访问计算机的名字，剩下的名字到地址的转换过程则由计算机自动完成。hosts映射早期，名字到地址的转换过程十分简单。每台计算机保存一个hosts文件，里面列出所有计算机名字和对应的IP地址，然后定期从一个维护此文件的站点更新里面的记录。当我们访问某个计算机名字时，先在hosts文件找到对应的IP，然后就可以建立连接。...

之前不一小心把Ubuntu16.10所有软件的apt-get配置给删了，然后就把系统给重新装了一遍。想一下以后如果要再次重装系统的话，配置服务器这些有点繁琐，然后就想了下，web服务都用docker来运行。docker基础用法，看起来还挺简单的，但是在我实际的使用中，按照自己的想法去部署服务的时候还是遇到了一些书上没说的细节问题。这些细节问题，进行不下去时候，那么我先去搜索，搜索不到再去发帖，这样有时候会在一个小点上面卡主好几天。看到这里，我当然都把这些问题一一解决了。我这里的架构是Nginx+MySQL+PHP的。一开始我是想用Dockerfile文件，把它们三个全都放到一个镜像里面取，一开始的Dockerfile内容如下：FROM ubuntu:latest RUN apt-get update RUN apt-get install -y mysql-server nginx php-fpm php-mcrypt EXPOSE 80 443 CMD ["/etc/init.d/nginx", "start"]当我build的时候，遇到的第一个问题就是，安装MySQL的时候，会弹出...

小计一笔，这里仅限是环境搭建的过程。搭了个LNMP的环境，估计很多同学最常遇到的就是502了吧？我搭了那么多次，就是502最多。我遇到的一般都出在用户的设置和目录权限的配置上面的，解决这两点一般就不会有什么问题了。配置nginx，新建了个用户组web，和用户webuser。改配置nginx.conf的user选项为user webuser。执行nginx -t报错：nginx: [emerg] getgrnam("webuser") failed in /etc/nginx/nginx.conf:1 nginx: configuration file /etc/nginx/nginx.conf test failed这什么意思啊？一番搜索之后好像没什么有用信息。原来是user www-data，而且系统里面有www-data组和www-data用户。所用猜测报错应该是说用户有问题。nginx检查配置正确性的时候肯定是按照同用户名的组去验证用户的，这里我只写了user webuser。webuser组下面确实没有webuser用户，改成user webuser web一切ok。nginx...

这服务器过期好久了，去后台看了，套餐都不见了，网站竟然还在，还能访问，惊讶。难道是忘记清理了？哈。。。还是去买了个vps来搞搞，之前用的是虚拟主机。昨晚去linode买了个最低配置的主机，新加坡节点，今天起来就搭了个环境，把网站运行起来了。感觉速度还可以啊！嘿嘿！...

1、验证码验证码被认为是对抗CSRF攻击最简洁而有效的防御方法CSRF攻击的过程，往往是在用户不知情的情况下构造了网络请求。而验证码，则强制用户必须与应用交互，才能完成最终请求。因此，在通常情况下，验证码能够很好地遏制CSRF攻击。通常我们不可能在所有地方都加上验证码，所有这个也只能作为一种辅助手段。2、Referer Check就是检查请求的来源，这个还可以用来做图片的防盗链。Referer是由浏览器通过HTTP头来发送的。但是，这个头也不是什么时候都有的，很多情况下都是没有的，还可以通过程序来自定义。这个也只能作为一个辅助手段。3、Anti CSRF Token防御CSRF的主要方法是使用一个Token。CSRF的本质原因就是重要操作的所有参数都能被攻击者猜测到。攻击者只有预测出一个URL的所有参数与参数值，才能成功构造出一个伪造的请求，反之，攻击者无法攻击成功。因此我们可以在每个请求上面新家一个token参数，这个token是随机的，不可预测的，并且只有用户和服务器知晓，不能被第三方获取。提交请求时，服务器只需验证请求中的token是否存在及合法就可以了。Token的几个使用原则...

1、HttpOnlyHttpOnly最早由微软提出，并在IE6中实现，至今已经逐渐成为一个标准。浏览器将禁止页面的javascript访问带有HttpOnly属性的Cookie。严格来说，HttpOnly并非为了对抗XSS，HttpOnly解决的是XSS后的Cookie劫持攻击。PHP设置带HttpOnly属性Cookie的方法是使用自带的setcookie函数：setcookie('PHPSESSID', '79ce945e3bfd1917919e63a7ddbfe385', null, null, null, null, true);最后一个参数是设置httponly属性，执行后服务器会发送如下设置cookie的头：Set-Cookie:PHPSESSID=79ce945e3bfd1917919e63a7ddbfe385; path=/; HttpOnly2、输入检查常见的Web漏洞如XSS、SQL注入等，都要求攻击这构造一些特殊字符，这些特殊字符可能是正常用户不会用到的，所有输入检查就有存在的必要了。输入检查，在很多时候也被用于格式检查。例如网站注册使用的用户名，会被要求只能用字...

CORS全称是Cross-Origin Resource Sharing（跨域资源共享），是W3C推荐的跨域请求方案。同时也需要服务器端程序的配合。作用主要是以下这些跨站http请求：1、跨域的AJAX请求。2、网络字体(Web Font)，就是css里面 @font-face定义的字体，可以在服务器端配置哪些域允许跨站载入这些TrueType字体。3、WebGL的纹理（texture）文件。4、用HTML5的drawImage函数画到canvas里面的图片。场景示例简单的请求一个简单的跨域请求像下面描述的那样：1、只使用了GET, HEAD 或者POST。假如POST用来向服务器发送数据的话，HTTP头的Content-Type字段值是application/x-www-form-urlencoded, multipart/form-data，或者text/plain三个中的一个。2、没有设置自定义的HTTP头，就是哪种以X-开头的，比如X-Modified。例如域http://localhost的需要请求http://www.example.com的内容 ：我们可以很容易的在本地通...

1、hhostnamelookups off域名查找：这增加了处理每个请求的开销，首先，服务器会对dns系统做一个反向查询以找出客户系统的主机名，然后又进行正向查询看获得的主机名是否真实指向客户的ip。大多数情况下，你可以简单的关闭这个功能，如果你经常处理服务器日志，这个工作完全可以在以后进行。你可以通过在设置文件中加入指示hostnamelookups off来关闭这个功能。2、options -followsymlinks符号连接：当打开这个选项时，apache将检查每个请求中是否包含对符号连接的引用，这将对请求中包含的每个路径调用一次lstat()系统调用。除非你准备使用符号连接，否则用 options -followsymlinks 来关掉它。3、sethandler server-status服务器状态信息，默认已经关闭。该模块尽管这对测试与监控服务器很有用，但它也为服务器带来了额外的开销，你可以通过寻找任何类似sethandler server-status的指示来关闭，如果可能，你可以在安装apache时移除这个模块。4、options -indexes关闭目录浏览。5、...