Nginx tengine 修改配置文件实现隐藏服务器信息方法 简介：我们在部署完成Nginx tengine 之后会发现 默认的错误页面会带有服务器的url以及hostname 为了安全起见我们要隐藏这些关键信息 防止被不法人员利用方法：在nginx配置文件中 http中的最下方添加 如下内容 并且重启Nginx服务即可 server_info off; server_tag off;

JS唤醒Windows10/11消息通知信息 在写一个应用的时候需要显示网页来的消息，为了让用户不会错过消息，所以希望使用JS调用win10的通知消息，调用方法如下:JS调用window.Notification()1、在页面打开的时候查看浏览器是否支持Notification API，如果支持，则判断是否有权限通知，没有的话交由用户判断是否允许通知(JS代码)：// 判断浏览器是否支持唤醒 if (window.Notification) { let popNotice = () => { if (!Notification.permission === 'granted') return const notification = new Notification('核客互动', { body: '提示信息' }) // 点击通知的回调函数 notification.onclick = function() { window.open('https://baidu.com') notification.close() } } /* 授权过通知 */ if (Notification.permission === 'granted') { popNotice() } else { /* 未授权，先询问授权 */ Notification.requestPermission(function(permission) { popNotice() }) } }2.将应用部署到服务器之后只有https协议的网页可以调用通知功能。{message type="info" content="如果是Win10/11系统的话，可以直接将上面代码复制到F12控制台运行"/}

网站https提示不安全，显示小黄锁、红色感叹号的解决方法 从https的推出到现在，已经有很多站长开始使用https了，本站也在使用https，因为https不仅有利于网站SEO优化，https还可以有效的防止网站劫持，并且保证网站的安全连接性，更能给予用户足够的安全感，然而https如果配置的不正确，也会出现很多的问题。https显示小黄锁 红色感叹号 “锁开了”这种情况是最常见的，如果你的网站https显示小黄锁，那就说明你的ssl证书没问题，问题是出在你网站本身 https显示小黄锁主要原因是因为网站页面里面调用了http资源，因为https是属于绝对安全的加密连接方式，而http却是未加密的纯文本连接方式，也就是说https网页里面绝对不能出现http资源，例如网页里面调用的图片是http网站的，就会导致网站https提示小黄锁，这种情况只需要删掉网站里面的http资源即可。强行解决https小黄锁的方法在网站的 标签之间，加入以下代码，这串代码的意思是将网站里面所有的http资源强制换成https资源，从而达到完全安全的https连接。<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">

通过QQ邮箱显示获取QQ头像，不暴露QQ号码 实现原理是获取json数据进行分割得出k值再进行重组，比较简单。function Authorimg($email) { $a='cdn.v2ex.com/gravatar';//gravatar头像源 $b=str_replace('@qq.com','',$email);//替换qq邮箱 if(stristr($email,'@qq.com')&&is_numeric($b)&&strlen($b)<11&&strlen($b)>4){ $nk = 'http://ptlogin2.qq.com/getface?&imgtype=1&uin='.$b;//qq头像api $q = file_get_contents($nk);//读入文件 $q = json_encode($nk);//编码json $k = explode("&k=",$q)[1];//分割出k值 echo 'https://q.qlogo.cn/g?b=qq&k='.$k.'&s=100';//重组 }else{ $email= md5($email); echo 'https://'.$a.'/'.$email.'?'; } }此方法实际使用貌似会影响效率，实测加载比较慢，于是就研究了下，得出第二种方法，获取HTTP请求所发送的标头的数组，不用读入整个文件不会影响效率。function Authorimg($email) { $a='cdn.v2ex.com/gravatar';//gravatar头像源 $b=str_replace('@qq.com','',$email); if(stristr($email,'@qq.com')&&is_numeric($b)&&strlen($b)<11&&strlen($b)>4){ $nk = 'https://s.p.qq.com/pub/get_face?img_type=3&uin='.$b; $c = get_headers($nk, true); $d = $c['Location']; $q = json_encode($d); $k = explode("&k=",$q)[1]; echo 'https://q.qlogo.cn/g?b=qq&k='.$k.'&s=100'; }else{ $email= md5($email); echo 'https://'.$a.'/'.$email.'?'; } }使用方法：<?php Authorimg($comments->mail); ?>

Nginx配置常用的安全屏蔽规则 Nginx 是一个高性能的 HTTP 和反向代理服务，目前很大一部分网站均使用了 Nginx 作为 WEB 服务器，Nginx 虽然非常强大，但默认情况下并不能阻挡恶意访问，整理了一份常用的 Nginx 的屏蔽规则，希望对各位站长有所帮助。在开始之前，请先备份你的 Nginx 配置。下面命令均添加到 server 段内：一、防止文件被下载比如将网站数据库导出到站点根目录进行备份，很有可能也会被别人下载，从而导致数据丢失的风险。以下规则可以防止一些常规的文件被下载，可根据实际情况增减。location ~ .(zip|rar|sql|bak|gz|7z)$ { return 444; }二、屏蔽非常见蜘蛛（爬虫）如果经常分析网站日志你会发现，一些奇怪的 UA 总是频繁的来访问网站，而这些 UA 对网站收录毫无意义，反而增加服务器压力，可以直接将其屏蔽。if ($http_user_agent ~* (SemrushBot|python|MJ12bot|AhrefsBot|AhrefsBot|hubspot|opensiteexplorer|leiki|webmeup)) { return 444; }三、禁止某个目录执行脚本比如网站上传目录，通常存放的都是静态文件，如果因程序验证不严谨被上传木马程序，导致网站被黑。以下规则请根据自身情况改为您自己的目录，需要禁止的脚本后缀也可以自行添加。location ~* ^/(uploads|templets|data|content/uploadfile)/.*.(php|php5|php7)$ { return 444; }四、屏蔽某个 IP 或 IP 段如果网站被恶意灌水或 CC 攻击，可从网站日志中分析特征 IP，将其 IP 或 IP 段进行屏蔽。#屏蔽 192.168.5.23 这个 IP deny 192.168.5.23; #屏蔽 192.168.5.* 这个段 denu 192.168.5.0/24;

免费SSL证书申请网址合集 给大家分享一些免费 SSL 证书申请网站，提供 Let’s Encrypt 或 TrustAsia CA 的免费 SSL 证书，Freessl地址：https://freessl.org（免费的 90 天证书 SSL，可自动续期。）SSLforfree地址：https://www.sslforfree.com（免费申请 Let’s Encrypt 证书 可申请通配符 SSL 证书（即申请一个证书可用于所有该域名下所有子域名证书））Lookssl地址：https://www.lookssl.com（免费申请一年 Root CA 1 年期免费证书）Freessl地址：https://freessl.cn（可免费申请 Let’s Encrypt 与 TrustAsia 免费 SSL 证书，还提供有 SSL 工具。）

防止网站被恶意镜像或反向代理方法 原理首先介绍一下防止镜像的思路，由于有之前使用PHP实现301跳转的经验，所以这次也是在服务器层面进行301跳转的处理。我们使用PHP来判断当前访问的域名是否和我们自己的域名一致，如果不一致，则直接301跳转到我们的网站。假如我们的域名是a.com,这时有恶意人士使用b.com对我们的站点进行反向代理，那么我们就可以通过判断a.com = b.com?来决定是否进行跳转，如果不一致，那么直接301跳转。实现方式实现的方式很简单，只需要简短的几行代码即可，将下方代码，放到网站的header或者footer之类的每个页面都会调用的php文件内，然后将$bkcom的值修改为你的域名，不需要写协议（http）。<!--防镜像代码--> <?php $nobkcom = $_SERVER['HTTP_HOST']; $bkcom = "www.hackeus.cn"; //你的域名 if($bkcom != $nobkcom){ header('HTTP/1.1 301 Moved Permanently'); //添加301状态码 header("location://".$bkcom);//跳转页面 } ?>只要你的网站是基于PHP的，那么就可以使用上方代码，typecho或者wordpress等程序可以直接添加在主题的header文件或者footer文件。