Nginx location 指令

Syntax: location [ = | ~ | ~* | ^~ ] uri { ... }
location @name { ... }
Default: —
Context: server, location

  1. 先普通匹配(=^~
  2. 如果 ^~ 匹配成功,或严格匹配成功(一字不差)就直接生效,不再继续匹配
  3. 如果只是 = 前缀匹配成功,继续向下找
  4. 注意:按照规则长度,长的会覆盖短的,所以可以理解成和编辑顺序无关(最大前缀规则)
  5. 再正则匹配(~~*
  6. 遇到一个匹配成功的就直接返回
  7. 如果正则匹配全部失败,就采纳普通匹配结果,如果普通匹配也全部失败,就 404
2019-05-22

记一次 XSS 漏洞发现过程

某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。
跟踪这个过程,真的十分有趣。
这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。
页面内容输出转义、SQL 防注入、表单的 CSRF token 校验,应该算是 Web 站点搭建的基础工作吧!

2019-04-10

/proc/uptime 在开发中的一点应用

在一些和时间关联紧密的操作中,可要提防修改时间对系统运行的影响,这个时候 /proc/uptime 就派上用场了。

2016-06-27