开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

受信任的Web活动:返回到主活动将显示转换期间的网站URL

受信任的Web活动是指在Web开发中，当用户从一个网站或应用程序导航到另一个网站或应用程序时，通过返回到主活动来显示转换期间的网站URL。这种机制可以确保用户在浏览不同网站或应用程序时能够清楚地知道他们当前所处的位置。

受信任的Web活动的分类：

内部链接：用户从一个网站的页面导航到同一网站的另一个页面。
外部链接：用户从一个网站的页面导航到另一个不同网站的页面。

受信任的Web活动的优势：

用户体验改善：通过显示转换期间的网站URL，用户可以清楚地知道他们当前所处的位置，避免迷失或混淆。
安全性增强：受信任的Web活动可以帮助用户识别是否被重定向到不受信任的网站，从而减少恶意攻击的风险。

受信任的Web活动的应用场景：

电子商务网站：在购物过程中，用户从产品列表页面导航到产品详情页面，再返回到主活动以继续浏览其他产品。
社交媒体平台：用户从个人主页导航到好友列表页面，再返回到主活动以查看其他内容。
新闻网站：用户从新闻列表页面导航到新闻详情页面，再返回到主活动以继续阅读其他新闻。

腾讯云相关产品和产品介绍链接地址：

云服务器（ECS）：提供可扩展的计算能力，支持各种应用程序和工作负载。详情请参考：https://cloud.tencent.com/product/cvm
云数据库MySQL版（CDB）：提供高性能、可扩展的关系型数据库服务。详情请参考：https://cloud.tencent.com/product/cdb_mysql
云安全中心（SSC）：提供全面的云安全解决方案，包括漏洞扫描、入侵检测等功能。详情请参考：https://cloud.tencent.com/product/ssc
腾讯云CDN：提供全球加速、缓存分发的内容分发网络服务。详情请参考：https://cloud.tencent.com/product/cdn
腾讯云人工智能：提供丰富的人工智能服务，包括语音识别、图像识别、自然语言处理等。详情请参考：https://cloud.tencent.com/product/ai

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

竞争激烈的互联网时代，是否需要注重一下WEB安全？

一直以来自己对WEB安全方面的知识了解的比较少，最近有点闲工夫了解了一下。也是为了以后面试吧，之前就遇到过问WEB安全方面的问题，答的不是很理想，所以整理了一下！

05

iOS 11 更大的导航（官方翻译版）

导航栏导航栏出现在应用程序屏幕顶部的状态栏下方，并可以通过一系列分层屏幕进行导航。当显示新屏幕时，通常标有前一屏幕标题的后退按钮出现在栏的左侧。有时，导航栏的右侧包含一个控件，如编辑或完成按钮，用于

03

华为ensp中USG6000V防火墙双机热备VRRP+HRP原理及配置

华为防火墙双机热备的工作原理是通过两台防火墙设备之间定期发送心跳报文来判断对方的状态。如果主用防火墙出现故障，备用防火墙会收到主用防火墙停止发送心跳报文的消息，然后会自动切换为新的主用防火墙。

01

MIT 6.858 计算机系统安全讲义 2014 秋季（二）

<embed name="nacl_module" id="hello_world" width=0 height=0 src="hello_world.nmf" type="application/x-nacl" />

01

如何做一款好的waf产品(4)

对于网络设备来说管理是一个重要的部分，尤其对于安全设备来说，因为业务需要的不停变化需要对设备不停的进行设置。

02

基于区块链技术的媒体平台，链讯头条帮你把握经济方向！

据链讯头条报道：国内已有多家区块链媒体拿到了融资，如链得得，如巴比特，如虎尔财经，融资额度从百万到数千万不等。不难看出，区块链媒体因为自身的种种优点正在逐渐成为新媒体经济的一种新的发展方向。

06

如何成功执行网络取证分析？

我们都遇到过各种网络问题，有时会需要网络取证分析。但是您或许不知道从哪里开始，该怎么办？或者，更准确地说，您不知道需要什么硬件来捕获网络线上的信息，以及在分析数据时需要寻找什么？不清除这些问题的答案可能会导致安全漏洞或网络中出现其他异常情况。

01

使用 OAuth 实现大型网站现代化的 5 个步骤

本文翻译自 5 Steps to Modernize Large Websites using OAuth 。链接可以查看原文。

01

谷歌AMP：最新的逃逸型网络钓鱼战术

最近，一种利用谷歌加速移动页面（AMP）的新型网络钓鱼策略已经进入威胁领域，并被证明在达到预定目标方面非常成功。谷歌AMP是由谷歌和30个合作伙伴共同开发的一个开源的HTML框架，旨在加快网页内容在移动设备上的加载速度。

04

从https的演进到burpsuite抓包的漫谈

开始先抛出一下三个问题：网站登录用户名密码明文传输，改用https协议是否能解决这个问题？那为什么我采用https了通过burp还是可以看到明文密码？如果我在burp里看到的是明文密码，那我采用https的目的是什么呢？ 📷 最近和新同学的交流中被我这三个问题问的比价懵，在测试中就会造成误报，当然像我这样的也可以强行解释通但这并不是该有的态度，在此利用跨年值守的时间整理了一下这个过程，发现能说清楚到完整的写出来中间的过程还很漫长，当然这个文章写得很啰嗦，专有名词上很不严谨，在技术细节上较粗糙，欢迎指正

09

真的，Web安全入门看这个就够了！

超文本传输协议，HTTP是基于B/S架构进行通信的，而HTTP的服务器端实现程序有httpd、nginx等，其客户端的实现程序主要是Web浏览器，例如Firefox、InternetExplorer、Google chrome、Safari、Opera等

04

Android 渗透测试学习手册第七章不太知名的 Android 漏洞

在本章中，我们将了解一些不太知名的 Android 攻击向量，这在 Android 渗透测试中可能很有用。我们还将涵盖一些主题，如 Android 广告库中的漏洞和WebView实现中的漏洞。作为渗透测试者，本章将帮助你以更有效的方式审计 Android 应用程序，并发现一些不常见的缺陷。

01

网站安全维护公司渗透测试项目详情

上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF，很多客户找到我们Sinesafe想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦！

02

渗透测试跨站攻击手法剖析

上一节讲到了渗透测试中xss跨站攻击检测方法和防护,这一节也是关于跨站攻击的另一个手法CSRF，很多客户找到我们Sinesafe想要了解更多的跨站攻击检测方法以及防御此类攻击的办法,想要让网站的安全性更加坚固,对此提醒大家渗透测试网站必须要拿到授权才能测试哦！

04

警惕更加阴险的Android银行恶意软件——BrazKing

据The Hacker News网站报道，一款更加隐蔽的Android恶意程序正紧盯着用户的钱袋子，它能通过窃取双因素身份验证码 (2FA) ，从受感染设备的银行账户中盗取资金。

03

黑客视角揭秘WiFi钓鱼，零信任带来防护突破

无线钓鱼是一个广受关注但难以根治的热点安全话题。本文中，我将以攻击者视角揭露无线钓鱼攻击的技术原理，包括DNS劫持、Captive Portal、JS缓存投毒等有趣的攻击利用。随后将探讨企业该如何帮助员工应对无线钓鱼攻击。企业内做钓鱼热点防护就够了吗？如何进行有效的无线安全意识培训？使用VPN就能抗住所有攻击？员工在非信任无线网络中进行远程办公是不可避免的安全挑战，零信任产品带来了更多的解决思路。

01

ASP.NET Core Web API 与 SSL

SSL 一直没有真正研究过SSL，不知道下面的理解是否正确。 SSL是Secure Sockets Layer的缩写，它用来保护服务器和客户端之前的通信。它是基于信任+加密的概念。在介绍SSL的原理之前，首先介绍一下加密（Encryption）的概念。在很多的应用/API里，最常见的一种加密的方式是对称加密（Symmetric Encryption）。对称加密的原理是这样的：比如说甲方想要发送一些数据给某个调用者（乙方），乙方可能在某个进程或客户端服务器里，或者是跨越网络的。总之是两方通信。而甲方发送

03

系统的讲解 - PHP WEB 安全防御

SQL注入攻击是通过WEB表单提交、URL参数提交或Cookie参数提交，将怀有恶意的“字符串”，提交到后台数据库，欺骗服务器执行恶意的SQL语句。

02

谈谈 JavaScript 中的类型转换机制

JS中有六种简单数据类型：undefined、null、boolean、string、number、symbol，以及引用类型：object

02

WWDC22 - Apple 隐私技术探索

一直以来，苹果对隐私保护都非常严格，虽然每年新 iPhone 发布都提前被暴光的差不多了，但从 2018 年 Facebook 隐私门事件开始，不管国内还是海外，行业巨头还是个人用户，大家对于隐私的关注都达到了新的高度。正如乔布斯说，开放和安全是截然相反的事情，但这件不容易的事，总需要有人做。从 WWDC20 开始，对用户隐私的保护，又达到了史前的疯狂程度，如推出 ATT（App Tracking Transparency），成为广告行业的敌人，更不要说平时对权限的严控，所以，本文带大家一起回顾苹果关于隐私的升级变化。

02

AngularDart 4.0 高级-安全

本页面介绍了Angular内置的针对常见的Web应用程序漏洞和跨站脚本攻击等攻击的内置保护。它不包括应用程序级别的安全性，如身份验证（此用户是谁？）和授权（此用户可以做什么？）。

02

从0开始构建一个Oauth2Server服务1-创建应用程序

我们将介绍在构建与现有 OAuth 2.0 API 对话的应用程序时需要了解的事项。无论您是构建 Web 应用程序还是移动应用程序，在我们开始时都需要牢记一些事项。

03

SASE是一个什么样的黑科技

提起SASE这个词，可能对于大多数人都比较陌生，这是Gartner最新提出的一个技术理念，该理念很先进也很庞大，待您慢慢了解和熟悉整个SASE理论和预解决方案后，可能会觉得这是个了不起的创新。

03

Trino lambda表达式使用学习小结

Trino中使用了很多的lambda表达式的写法，这点与Impala非常不同。这里简单学习了一些场景下的lambda表达式的用法。具体的例子如下：

08

骚操作！WordPress流氓主题利用户服务器做肉鸡发动DDos攻击

WordPress主题供应商Pipdig被发现利用客户的服务器对竞争对手的网站发动DDoS攻击。安全研究人员jem分析了他们的代码后，找到了实锤进行了DDoS攻击的证据。

02

Web-第三十二天 WebLogic中间件【悟空教程】

中间件(middleware)是基础软件的一大类, 属于可复用软件的范畴. 顾名思义,中间件处于操作系统软件与用户的应用软件的中间.

04

Burpsuite入门之target模块攻防中利用

本文转载自助安社区（https://secself.com/），海量入门学习资料。

02

SQL注入和XSS攻击

SQL注入：所谓SQL注入，就是通过把SQL命令插入到提交的Web表单或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，导致数据库中的信息泄露或者更改。防范： 1.永远不要信任用户的输入,将用户输入的数据当做一个参数处理：使用参数化的形式，也就是将用户输入的东西以一个参数的形式执行，而不是将用户的输入直接嵌入到SQL语句中，用户输入就被限于一个参数。 2.避免提示详细的错误信息：当用户输入错误的时候，避免提示一些详细的错误信息，因为黑客们可以利用这些消息，使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 3. 加密处理：将用户登录名称、密码等数据加密保存。加密用户输入的数据，然后再将它与数据库中保存的数据比较，这相当于对用户输入的数据进行了“消毒”处理，用户输入的数据不再对数据库有任何特殊的意义，从而也就防止了攻击者注入SQL命令。 4.确保数据库安全：锁定你的数据库的安全，只给访问数据库的web应用功能所需的最低的权限，撤销不必要的公共许可，如果web应用不需要访问某些表，那么确认它没有访问这些表的权限。如果web应用只需要只读的权限，那么就禁止它对此表的 drop 、insert、update、delete 的权限，并确保数据库打了最新补丁。

02

65% 的公司正在考虑采用 VPN 替代方案

新冠疫情期间，尽管对 VPN 风险的认识增加，但远程工作迫使许多公司不得不更加依赖这个传统访问方式。与此同时，Zscaler 发布的 VPN 风险报告也表明了，网络攻击者利用长期存在的安全漏洞，增加了对 VPN 的攻击。

04

HTTPS是如何工作的？

HTTPS（Hypertext Transfer Protocol Secure）是HTTP（Hypertext Transfer Protocol）的安全版本，用于在用户的Web浏览器和网站之间传输数据。HTTPS在传输过程中对数据进行加密，提供了一个安全且私密的通信通道。以下是HTTPS的工作原理的简化解释：

01

如何使用SSL证书

SSL证书是用于在WEB服务器与浏览器以及客户端之间建立加密链接的加密技术，通过配置和应用SSL证书来启用HTTPS协议，来保护互联网数据传输的安全，全球每天有数以亿计的网站都是通过HTTPS来确保数据安全，保护用户隐私。

00

Spring Security入门3：Web应用程序中的常见安全漏洞

安全漏洞是指在计算机系统、网络系统或软件程序中存在的错误、缺陷或漏洞，可能被恶意攻击者利用，导致系统被入侵、数据泄露或服务被破坏。安全漏洞可以存在于操作系统、应用程序、网络协议、数据库系统等各个层面。攻击者可以利用这些漏洞来获取非法访问权限、执行恶意代码、篡改数据或者拒绝服务等。安全漏洞的发现和修补是保障系统安全的重要工作，而及时更新和修复已知的漏洞是保持系统安全的基本措施。

08

Spring Security入门3：Web应用程序中的常见安全漏洞

安全漏洞是指在计算机系统、网络系统或软件程序中存在的错误、缺陷或漏洞，可能被恶意攻击者利用，导致系统被入侵、数据泄露或服务被破坏。安全漏洞可以存在于操作系统、应用程序、网络协议、数据库系统等各个层面。攻击者可以利用这些漏洞来获取非法访问权限、执行恶意代码、篡改数据或者拒绝服务等。安全漏洞的发现和修补是保障系统安全的重要工作，而及时更新和修复已知的漏洞是保持系统安全的基本措施。

06

浅谈csrf

CSRF（Cross-site request forgery）跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

05

腾讯云负载均衡HTTPS转发场景应用

本文提供视频讲解，详细见地址：https://www.bilibili.com/video/BV1ZA411W7fi/

05

从一些常见场景到CSRF漏洞利用

对web客户端的攻击，除了XSS以外，还有一个非常重要的漏洞就是CSRF。 CSRF最关键的是利用受害者的Cookie向服务器发送伪造请求。 1.CSRF漏洞概念 CSRF（Cross-site request forgery，跨站请求伪造），也被称为“One Click Attack”或Session Riding，通常缩写为CSRF或者XSRF，是基于客户端操作的请求伪造，是一种对网站的恶意利用。 2.CSRF与XSS的区别 CSRF听起来像跨站脚本攻击(XSS)，但与XSS不同。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。什么意思呢？我的理解就是： XSS利用的是用户对指定网站的信任，CSRF利用是网站对用户浏览器的信任。 3.CSRF漏洞原理学习过程中，参考了一下大师傅的博客，发现CSRF原理可以分为狭义的CSRF和广义的CSRF

02

一文了解CSRF漏洞

成因就是网站的cookie在浏览器中不会过期，只要不关闭浏览器或者退出登录，那以后只要是访问这个网站，都会默认你已经登录的状态而在这个期间，攻击者发送了构造好的csrf脚本或包含csrf脚本的链接，可能会执行一些用户不想做的功能

02

【网络安全】「漏洞复现」（五）从 NextJS SSRF 漏洞看 Host 头滥用所带来的危害

本篇博文是《从0到1学习安全测试》中漏洞复现系列的第五篇博文，主要内容是通过代码审计以及场景复现一个 NextJS 的安全漏洞（CVE-2024-34351）来讲述滥用 Host 头的危害，往期系列文章请访问博主的安全测试专栏；

01

Windows 身份验证中的凭据管理

Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机，身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明（例如证书、密码或 PIN）相关联的数字文档。

01

黑客利用GitHub将恶意软件推送至用户电脑以盗取凭据

几个月前，我们曾发布了有关网络罪犯如何使用GitHub在被黑网站上加载各种加密货币矿工的报告文章。不幸的是即便如此，我们依然没能阻止网络罪犯们的脚步。如今，我们又发现了使用相同手法的网络犯罪活动。其主要目的是利用GitHub，将二进制信息窃取恶意软件悄无声息的推送至Windows用户的电脑上。受感染的Magento网站最近，识别了数百个受感染的Magento站点均被注入了以下的脚本： <script type="text/javascript" src="https://bit.wo[.]tc/js/l

07

配置Tomcat和在Eclipse中创建Web工程

在Tomcat的安装目录下有一个conf目录，里面存放着Tomcat服务器的配置文件，其中最为核心的配置文件是server.xml，在这个文件里我们可以配置服务器的各种参数，例如超时时间、连接数量、端口配置等等。

02

了解SSRF漏洞,这一篇就足够了......

本号提供的工具、教程、学习路线、精品文章均为原创或互联网收集，旨在提高网络安全技术水平为目的，只做技术研究，谨遵守国家相关法律法规，请勿用于违法用途，如有侵权请联系小编处理。

01

【JavaSE专栏91】Java如何主动发起Http、Https请求？

本文讲解了如何使用 Java 发起 Http 请求，并给出了样例代码，HTTP 是一种用于在 Web 浏览器和 Web 服务器之间传输数据的协议，Java 可以通过三方工具类发起 HTTP 请求。

02

MetaMask v8 新版本介绍

现在，MetaMask 的新版本已经推出！MetaMask版本8的推出，是对MetaMask的重大升级，并提供了许多以前钱包没有的新功能，在这里来介绍一下。

02

python爬虫(五)_urllib2:Get请求和Post请求

本篇将介绍urllib2的Get和Post方法，更多内容请参考:python学习指南 urllib2默认只支持HTTP/HTTPS的GET和POST方法 urllib.urlencode() urllib和urllib2都是接受URL请求的相关参数，但是提供了不同的功能。两个最显著的不同如下： urllib仅可以接受URL，不能创建设置了headers的Request类实例；但是urllib提供了urlencode方法用来GET查询字符串的产生，而urllib2则没有。(这是urllib和url

06

前端网络安全

1、类型 1）反射型：通过网络请求参数中加入恶意脚本，解析后执行触发。 2）文档型：请求传输数据中截取网络数据包，对html代码插入再返回。 3）存储型：通过输入发送到服务端存储到数据库。 2、防范措施 1）对用户输入进行过滤或转码。 2）csp(内容安全策略)。使CSP可用, 你需要配置你的网络服务器返回 HTTP头部

03

php变量和数据类型

通过美元$变量名称来表示变量，可以声明变量在使用，也可以不声明，可以一次声明一个，也可以一次声明多个

02

何时以及如何在你的本地开发环境中使用 HTTPS

翻译：布兰作者：Maud Nalpas https://web.dev/when-to-use-local-https/ https://web.dev/how-to-use-local-https/

03

bwapp详细教程_APP总结报告怎么做

bWAPP（buggy web Application）是一个集成了了常见漏洞的 web 应用程序，目的是作为漏洞测试的演练场（靶机），为 web 安全爱好者和开发人员提供一个测试平台，与 webgoat、dvwa 类似。

01

一篇文章掌握常见的网站攻击方式

最近兼职部门的安全接口人，时不时收到信息安全部发过来的漏洞，有些漏洞看得一头雾水（没文化真可怕）。赶紧普及一下常见的安全问题。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭