Diva
Dance”。实际是由两部分组合起来的。
前半部分的抒情慢板选取了古典作曲家多尼采蒂的歌剧“拉美莫尔的露琪亚”选段。后半部分的电声舞曲则是“第五元素”的配乐艾瑞克•塞拉的手笔了。两者风格迥异,却又合二为一,给人印象十分深刻。俺一直到现在都特迷此曲。
第五元素的专辑曲目:
01
Little
Light
Of
Love
02
Mondoshawan
03
Timecrash
04
Korben
Dallas
05
Koolen
06
Akta
07
Leeloo
08
Five
Millenia
Later
09
Plavalaguna
10
Ruby
Rap
11
Heat
12
Badaboom
13
Mangalores
14
Lucia
Di
Lammermoor
“15
The
Diva
Dance”——就是这首
16
Leeloominai
17
A
Bomb
In
The
Hotel
18
Mina
Hinoo
19
No
Cash
No
Trash
20
Radiowaves
21
Human
Nature
22
Pictures
Of
War
23
Lakta
Ligunai
24
Protect
Life
25
Little
Light
Of
Love
(End
Titles
Version)
26
Aknot!
Wot
(Bonus
track)
这是片中演员表:(前面是演员名字,后面是剧中名字)米拉·乔沃维奇 .... Leeloo (所以就是叫丽露,没有很长的名字)
加里·奥德曼 .... Jean-Baptiste Emanuel Zorg
布鲁斯·威利斯 .... Major Korben Dallas
伊恩·霍姆 .... Priest Vito Cornelius
Luke Perry .... Billy
克里斯·塔克 .... DJ Ruby Rhod
布里翁·詹姆斯 .... General Munro
汤姆·里斯特 .... President Lindberg
山姆·道格拉斯 .... Chief NY Cop
克里斯托弗·阿德姆森 .... Airport Cop
Robert Alexander .... Warship Technician
Richard Ashton .... Mondoshawan
David Barrass .... Flying Cop
Ian Beckett .... Baby Ray
John Bennett .... Priest
提到安全,相信大家的第一反应都是加密,什么MD5、AES、SHA-256算法之类东西。没错加密各种算法是安全的基础。针对于基础的安全设施, Java Security 模块 提供了各种安全域的API、PKI、密码学及其内建实现、安全通信、认证、访问控制等丰富的功能,这些都是安全的基础。在Web应用的开发中,对于各种攻击防守,对于认证、授权的实现实现方案是极为重要的。Spring Security项目就是认证、授权、防攻击实现方案的集成框架。学习框架之前,必须要对安全领域的核心的概念进行梳理,这也是 Spring Security 本身所关注的点。
对请求资源的用户身份进行验证的过程,解决的是“这是谁请求的?”的问题。
确认当前用户是否有权限访问资源的过程,解决的是“他能不能做这个操作?”的问题。
跨站请求伪造(Cross Site Request Forgery)
请求是由外部网站伪造发送到目标服务服务器,而不是由用户主动发送请求至目标服务器这种伪造请求就是叫做CSRF。
同步令牌模式(Synchronizer Token Pattern) ,针对Post请求(避免get,会导致令牌泄漏),在请求参数中(一般是头部)增加同步令牌,服务器校验传入令牌的一致性判断是否是正确请求。请求令牌是从Cookie中获取的,由于同源策略外部站点无法获得令牌。能很好的解决该问题。
通常存在用户Session中。为什么不存在cookies中?这是一种早期处理方案,早期一些系统将token存在cookies中但是会出现了漏洞同 Ruby on Rails的CSRF保护绕过一样 ,同时系统失去了紧急情况下对于令牌的失效保护。web应用开发中关键信息存放在后台是一种比较安全的方式。令牌可能会随着Session过期而过期,可以通过主动取或者被动刷新的方式处理。
SameSite 是Http协议中的一个属性, 参考 。这是一种紧急的方案 ,实现防止CSRF攻击,可以在session cookie中设置如下不同的值:
针对cookie中存储了会话信息的请求如果丢失了cookie就会进入授权登录操作。使用SameSite 属性来防攻击要注意一些用户体验的场景,如Strict模式下邮件发送的地址就会失去了登录态,用户就需要再次登录可能会造成不好的体验。
从应用层面讲一般针对于浏览器用户,非浏览器场景就需要禁止CSRF Protection。对CSRF定义中它是依赖浏览器的,容易和中间人攻击混淆。
特别需要注意的具体场景如 login,logout,multipart是要重点进行CSRF保护。
在HTTP协议中有一些首部用于安全处理,本模块对Spring Security中关键安全首部进行讲解。其他参考: Security HTTP Response Headers , developer.mozilla.org
控制浏览器缓存用户浏览内容的首部。Spring Security 默认禁用缓存,可以避免敏感信息的泄露,如用户登录账号查看敏感信息后退出登录恶意用户通过浏览器回退查看到敏感信息。
针对Content-Type不存在的时候是否采用 内容嗅探(content sniffing) 的方式处理控制的首部。为了优化体验浏览器会自动判断响应内容的类型然后进行渲染。禁用sniff可以避免XSS攻击。因为 恶意用户可以创建一个postscript的js文档并用它来执行XSS攻击 。
Http严格传输安全,HTST(Http Strict Transport Security)。很多用户习惯输入不带https协议的域名,中间人可能会拦截到http并窃取https的响应给用户造成中间人攻击。Strict-Transport-Security首部将指导浏览器将其设置为严格的安全传输地址。 参考RFC6797
Http公钥固定(HPKP),用来告诉Web客户端将特定的加密公钥于某个Web服务器相关联,以降低使用证书伪造的MITM攻击的风险。 已被废弃 。
是否允许自己的网站被嵌入到其他网站。用来避免点击劫持(Click Jacking)
针对检测到跨域脚本攻击的中止操作,现代化的浏览器可以通过 Content-Security-Policy 针对不支持CSP的浏览器该保护的是很有效的。该首部没有被全力支持,只有少部分浏览器是支持的如:IE,Safari。
CSP是作为一种向客户端传递安全策略的机制,每一种安全策略代表了一组安全指令,每个指令对资源的呈现做了限制。 Content-Security-Policy , Content-Security-Policy-Report-Only
Referrer 首部标记的是资源最初来源, Referrer-Policy 主要就是控制多少引用信息包含在请求中。
为开发者提供了选择性禁用、启用、修改固定API或者浏览器功能的机制。
提供了通过首部清除浏览器侧数据的方式,例如登出的时候设置首部来清除浏览器侧的相关数据。
