最近检查 Google Webmaster 的时候发现很多链接地址错误。它们来自一些提供搜索服务但并不是我们常见的搜索引擎的网站。其中甚至有些网站的搜索结果并不会跳转到对应网站,而是将相应的网页通过 <frame> 方式嵌入到自己的网站来展示。可以通过 X-Frame-Options 来使这种方式失效,一是避免网页被人恶意使用,二是避免GW中的那些错误记录。
禁止网页被别的网站嵌套展示
3
标签: 安全
配置 SSH 服务以使用证书登录 Linux 服务器
调整了一下 HTTPS 配置
之前为了追赶潮流强制启用了一段时间的全站 HTTPS 加密连接,结果发现访问统计中日访问量降低了三到四成。随后在 Webkaka 中测试连通性,发现超过半数的测试点返回了 403 Forbidden 错误。当时还以为是因为防火墙的干扰。后来经过 22EE 的提醒,仔细检查并调整了一下网站的 SSL 配置。现在好多了,至少 Webkaka 的测试不会有 403 错误了。
为什么不强制全局 HTTPS 加密连接
水景一页部署 SSL 已有一年多了,使用的是 StartSSL 的免费证书。眼看着 Let’s Encrypt 项目就要正式发布,也萌发了全站强制 HTTPS 访问的想法。结果却发现这种做法对国内用户并不友好,只得作罢。
关闭 Firefox 的 Speculative Connect
才知道 Firefox 浏览器有个 Speculative Connect 的功能。它可以根据鼠标在页面链接上的位置预判用户的访问活动,从而在用户点击链接前向该链接的服务器发出访问请求。也就是说,即便用户只是将鼠标悬停在链接文本上想知道该链接的网址是否跟自己的预期一致而并不打算点击打开该链接也同样会造成用户访问该链接的事实。
今天再次细看此功能的说明的时候发现并没有提到鼠标悬停时后台预加载的问题,亦回想不起当初写此文所为何来。特此说明一下,免得误导大家。 2016.04.30