Laravel安全检查表(赞助商)

2021-09-08 20:00:02 laravel 阅读:622
在Sqreen,我们的使命是帮助开发人员构建更安全的应用程序。但安全是很难的。需要做什么并不总是显而易见的,良好的安全性带来的回报充其量也是模糊的。当它从我们的优先名单上掉下来时,谁会感到惊讶?我们想提供一些帮助。 我们创建了一个Laravel安全检查表,以提供一些指导,并涵盖有关保护您的Laravel应用程序的最佳实践。以下是清单中的10个提示,让您开始学习:代码 ✔**过滤和验证所有数据** Laravel雄辩的ORM使用PDO参数绑定来限制SQL注入。但是Laravel也提供了其他方法来创建SQL查询。无论数据来自何处,无论是配置文件、服务器环境、GET和POST,还是其他任何地方,都不要信任它。过滤并验证! 阅读更多信息: 在Laravel中验证✔**必要时使会话无效在任何重要的应用程序状态更改(如密码更改、密码更新或安全错误)之后,会话将过期并销毁。 ✔**使用强哈希函数存储密码** 确保使用诸如bcrypt之类的强大哈希函数对所有密码和其他可能敏感的数据进行哈希处理。不要使用弱散列函数,如MD5和SHA1。Laravel附带了一个使用Bcrypt和Argon2的本地哈希机制。使用它们!请在Laravel中使用Bcrypt或scrapt而不是SHA*作为密码!弱散列的危险✔**使用Laravel的内置加密**Laravel带有内置加密机制,我们强烈建议您使用该机制,而不是构建自己的加密机制。从PHP 7.2开始,旧的加密库已经被弃用,比如Mcrypt。但是,PHP 7.2支持更好的libnadium库。如果您想使用不同的加密库,请看libnadium。 阅读更多信息: - PHP 7.2:第一个将现代加密技术添加到标准库的编程语言✔**检查您的SSL/TLS配置**通过定期扫描,确保您的服务器的SSL/TLS配置是最新的,配置正确,并且没有使用弱密码、过时的TLS版本、没有弱密钥的有效安全证书等。阅读更多信息:Mozilla SSL LabsObservatory✔**Rate Limit Requests to Prevent DDoS Attacks**若要阻止试图执行暴力登录攻击的用户并压倒您的表单,请使用Fail2Ban等工具将请求限制在可接受的级别。阅读更多信息:Fail2Ban for Laravel✔**记录所有的事情,不管你是记录失败的登录尝试,密码重置,还是调试信息,确保你是记录的,并且使用一个易于使用的成熟的软件包,比如Monolog。阅读更多信息:✔**发送所有可用的安全标头**有几个安全标头,您可以使用这些标头使您的网站和基于web的应用程序更加安全,而且只需付出最小的努力。其中包括HSTS、X-XSS-Protection、X-Frame-Options、X-Content-Type-Options和内容安全策略。确保正确配置并在请求响应中发送它们。p>阅读更多信息:ul>使用这五个安全头创建更安全的应用程序✔**有一个内容安全策略**无论您有一个单页静态网站、一个大型静态网站或一个复杂的基于web的应用程序,都要实施一个内容安全策略(CSP)。它有助于减轻一系列常见的攻击向量,如XSS。阅读更多信息:通过MDN web文档的内容安全策略(CSP)通过Google Chrome extensions文档的内容安全策略(CSP)CSP Evaluator内容安全策略(CSP)验证器✔**监视您的应用程序安全**监视您的应用程序安全以防可疑行为和攻击。知道应用程序何时开始受到攻击是在为时已晚之前保护它的关键。?在这里下载你的副本!感谢Sqreen赞助了本周的Laravel新闻 - Mozilla SSL Labs - Observatory - Fail2Ban for Laravel✔**记录所有的事情,不管你是记录失败的登录尝试,密码重置,还是调试信息,确保你是记录的,并且使用一个易于使用的成熟的软件包,比如Monolog。阅读更多信息:✔**发送所有可用的安全标头**有几个安全标头,您可以使用这些标头使您的网站和基于web的应用程序更加安全,而且只需付出最小的努力。其中包括HSTS、X-XSS-Protection、X-Frame-Options、X-Content-Type-Options和内容安全策略。确保正确配置并在请求响应中发送它们。p>阅读更多信息:ul>使用这五个安全头创建更安全的应用程序✔**有一个内容安全策略**无论您有一个单页静态网站、一个大型静态网站或一个复杂的基于web的应用程序,都要实施一个内容安全策略(CSP)。它有助于减轻一系列常见的攻击向量,如XSS。阅读更多信息:通过MDN web文档的内容安全策略(CSP)通过Google Chrome extensions文档的内容安全策略(CSP)CSP Evaluator内容安全策略(CSP)验证器✔**监视您的应用程序安全**监视您的应用程序安全以防可疑行为和攻击。知道应用程序何时开始受到攻击是在为时已晚之前保护它的关键。?在这里下载你的副本!感谢Sqreen赞助了本周的Laravel新闻 - 通过MDN web文档的内容安全策略(CSP) - 通过Google Chrome extensions文档的内容安全策略(CSP) - CSP Evaluator - 内容安全策略(CSP)验证器

CSS无头WordPress到底有多合适?

我想知道无头WordPress会在哪里登陆。\"headless\"指的是只使用WordPress管理,通过WordPress restapi构建面向用户的站点,而不是传统的WordPress主题结构?WordPress的未来?还是相对利基?需求在哪里?当然,对它有需求。我知道很多人都这么做。例如,Gatsby有一个gatsby-source-wordpress插件,它允许您以使用wordpressrestapi的方式从WordPress站点获取内容,并将其缓存为GraphQL,以便在React-power...

日期:2021-06-24 01:15:34 浏览:624

CSS制作带有粘性页眉和页脚的表格变得更容易了

不久前,当我在博客中看到HTML中的粘性页眉和页脚时,一个表同时有粘性页眉和粘性第一列。在它里面,我从来没有在任何、或元素上使用position: sticky,因为即使Safari和Firefox可以做到这一点,Chrome也做不到。但是它可以做表格单元格,比如和,这是一个相当不错的解决办法。好吧,这已经改变了。我通过Twitter听说Chrome在v91中\"重写了表格\"。https://t.co/vTBplXWWtT我看到它掉了下来,升级了,然后做了一个快速测试。嘿,看看有粘性的表格页眉和页脚。@C...

日期:2021-06-24 02:00:01 浏览:939

CSS技巧编年史XXXX

只是我最近做的一些非现场工作的一个小链接汇总。就像我习惯的那样。DevJourney播客#151 Chris Coyier从陶瓷到CSS技巧和代码笔\"Chris带我们从玩他的第一个C64到他的陶瓷文学学士,再回到web开发。我们讨论了他在这一过程中的不同立场,以及他们是如何缓慢但肯定地引导他走向web开发的。我们浏览了CSS技巧的创造和娱乐,在开放中学习,以及美好的一天是什么样子。Podrocket Podcast火箭手术:Kaelan和Chris Coyier比较笔记我被要求删除这里嵌入的音频,如果你想...

日期:2021-06-24 02:00:03 浏览:865

CSS使用子资源完整性保护您的网站

当您从外部服务器加载文件时,您相信您请求的内容是您期望的内容。由于您不自己管理服务器,因此您依赖于另一个第三方的安全性,从而增加了攻击面。信任第三方并不是天生的坏事,但它肯定应该在网站安全的背景下加以考虑。一个真实的例子这不是纯粹的理论危险。忽视潜在的安全问题可能而且已经造成严重后果。2019年6月4日,Malwarebytes宣布他们在网站上发现了一个恶意的略读程序NBA.com. 由于Amazon S3存储桶受损,攻击者能够修改JavaScript库以窃取客户的信用卡信息。值得担心的不仅仅是JavaSc...

日期:2021-06-24 02:00:03 浏览:768

CSS联合的可能性

这是首字母缩略词RSS中不是形容词的一个词。非常简单联合更新:Lol这里有两个错误。RSS是首字母缩写而不是首字母缩写,\"Really\"是副词而不是形容词。RSS不仅仅是RSS阅读器。尽管如此,如果我不喜欢RSS阅读器。它是关于把内容放在一种设计成可移植的格式。内容的API并不是一个隐喻,这就是它的字面含义。RSS一直在我的脑海中,因为它就像我的日报,但我敢打赌它并不是人们关注的最高峰,甚至是开发者。尽管如此,它还是受到了一点关注,因为谷歌在androidchrome中引入了一个\"following\...

日期:2021-06-24 03:00:02 浏览:596

CSS在开放细节元素上添加背景

关于元素有一点奇怪,那就是,当它打开时,并不总是100%清楚该元素内部的内容和不内部的内容。我不是说总是重要,或者说它是一个特别难解决的问题,我只是注意到它最近出现在我身上。这里有一个直观的例子:这里的文本在里面,什么不是?这个解决方案是…CSS。把的样式设计得有点独特,这样问题就解决了。即使你希望排版是一样的,或者你不想任何独家风格,直到被打开,这仍然是可能的。使用alpha透明填充,您甚至可以确保更深的嵌套保持清晰。对于只插入内联内容的<详细信息>(如\"spoiler\"UI或其他内容),...

日期:2021-06-24 03:00:04 浏览:764

CSS容器查询的聚宝盆

我不知道是什么原因,但是我的feed在过去的几周里充斥着关于CSS容器查询的文章。有关集装箱查询的热议实际上始于去年12月,当时米丽亚姆•苏珊娜(Miriam Suzanne)发布了一份提案(采纳了大卫•巴隆的提案),但3月底,Una Kravets在推特上发布的一条消息称,他们在chrome://flags的#enable-container-queries旗后投放了Chrome Canary 91.0.4459.0在如此短的时间内,容器查询已经覆盖了如此多的地方,而且规范甚至还不是最终的!我很高兴看到C...

日期:2021-06-24 03:00:04 浏览:922

CSS target=blank

那会不会让你的眼睛有点抽搐?就像…是打字错误。值的开头应该是带有下划线的>。就像…Welp, that\"s correct syntax!In the case of the no-underscore>, the blank部分只是一个名称。可能是任何东西。它可以是>,或者,可能是为了预示这里的目的:>。是一个特殊的关键字,它将在新选项卡中打开链接,每次都打开一个新选项卡。>将在新选项卡中打开第一个单击的链接,但任何共享>的链接都将在新打开的选项卡中打开。我从来不知道这一点!我相信这条微博的解释。我创建...

日期:2021-06-24 04:00:02 浏览:1004

CSS查看WCAG 2.5.5以获得更好的目标尺寸

你有没有经历过这样的挫折:试图点击移动设备上的一个按钮却什么也不做,因为目标大小不够大,而且它在你的按键上不起作用?也许你有更大的手指,像我一样,也可能是由于灵活性有限。这是因为我们,即用户,必须与之交互的元素的目标区域越来越小,我们来谈谈如何使其足够大,以便用户能够轻松地与元素交互。如果用户在一个小型手持式触摸屏设备上访问内容,而这个设备的不动产要紧得多,那么这将是一个特别大的问题。成功标准重温我在上一篇涉及WCAG 2.1标准的文章中谈到了成功标准,Label in Name。简言之,WCAG标准是我们...

日期:2021-06-24 04:00:03 浏览:544

CSS Trickz:Netlify随需应变构建器的实验

默认情况下,WordPress站点有一个API。想看看这个网站的最新帖子吗,只是一组特定的数据…JSON格式?给你。Alex Riviere用它做了一个笑话站点。起初,当加载该API客户端时,该站点将fetch。很好,但是如果我们认真考虑一下,它对于访问站点的人来说是非常低效的(也就是说,比服务器呈现的HTML慢),对于API命中率也不是很高。所以,Alex用Netlify函数重新编写了它。然后Netlify函数将从API中fetch(在云中的节点中),并为预呈现的HTML提供服务。这可能更好一些,但正如亚...

日期:2021-06-24 04:00:04 浏览:593