|
网站连接分为内部链接和外部链接,不分等级,两者一样重要。一些SEO想要成功必须做内部链接的优化,我之所以这么讲是有原因的,要知道谁也不能保证百度蜘蛛只关注网站首页吧?也没人给出一个准确的理论依据说内页就没有首页重要吧,因为谁也不敢说。所以,优化内页是SEO的重要组成部分,无可厚非,毋庸置疑! 首先,说了这么久内部链接重要,内部链接是什么?和外部链接有什么不同? 顾名思义,内部链接就是你网站内部的链接,网站域名下的链接,如栏目与栏目之间的链接,页面与页面之间的链接、站内关键词之间的链接等。一个是网站内部链接,一个远程连接。 怎样做好内部链接,从哪里下手? 优化内部链接的作用就是让普通网民和百毒蜘蛛,能够很顺利很自然的去点击你的网站,浏览网站内容,如果说你能把百度蜘蛛当成一个用户的话,而且它能够很舒服的浏览你的网站,那就说明你的内部链接是做的不错的了。 一、不要再你的网站某一个模块或者网页出现网站内部链接三次以上,保持在三次以内,过多内部链接反而让人觉得反感。 二、从用户的角度来考虑,内部链接建议用原始窗口来链接,不建议用新窗口来链接,这一点是经过很多大网站实验的,效果非常不错的,如果细心的话,你会发现A5网就是内部优化的。 三、可以加注释来强调链接的方向。这一点也是站在用户角度来看的,让用户感觉方便且非常人性化。 四、从AXXWWD页面转到ASDSA页面,保持页面的互通性、畅通性,方便快捷。 五、尽量避免垃圾链接,众所周知,很多网站再卖这样的链接,但是要记住就算是垃圾链接,也不要全站链接,不然对网站是非常不利得。虽然说,网站链接越多越好,但是也要保证质量,慎重选择。 其实,对很多资深站长来说,内部链接优化是很简单的,也确实做的非常好,我只是把我自己的一些经验分享出来,希望能帮到一些没有什么经验的新手站长。 本文来自武汉大写艺wh.daxieyi.cn 转载请注明,感谢。 篇二 : 如何在Word2010中以粘贴链接形式链接文件如果用户希望在Word2010文档中创建链接向其他文件部分内容的链接,而非链接向整个文件,则可以借助“选择性粘贴”功能实现。以链接Excel表格中的部分数据为例,操作步骤如下所述:第1步,打开Excel表格窗口,选中需要创建链接的数据,并执行复制操作。第2步,打开Word2010文档窗口,在“开始”功能区的“剪贴板”分组中单击“粘贴”下拉三角按钮,并在打开的下拉菜单中选择“选择性粘贴”命令,如图1所示。 图1 选择“选择性粘贴”命令 第3步,打开“选择性粘贴”对话框,在“形式”列表中选中“Microsoft Excel 2003工作表对象”选项,然后选中“粘贴链接”复选框,并单击“确定”按钮,如图2所示。 图2 选中“粘贴链接”复选框返回Word2010文档窗口,可以查看以链接形式粘贴到Word文档中的部分Excel表格数据。双击该对象可以打开Excel表格窗口对其进行编辑。 篇三 : 在这个“点开我的链接你的账号就被黑了”的年代,如何给你的裸照加把锁?按:本文来自乌云知识库@呆子不开口,原标题为《我的通行你的证》。本文太高能,但是小编觉得还是值得给好奇好学的我雷读者们看下的。看不懂代码没关系,但是至少在以下情况中你的账号被黑的时候,你知道为什么并且知道该找谁帮忙了。这篇是我前几个月在CSDN开发者大会上讲的账号通行证安全相关的PPT《我的通行你的证》的文字整理版,稍微补充了点内容。因为懒一直没时间写,但年关将至,想到可以为老家的孩子们多挣点压岁钱…… 几个月前,我在测百度的一个账号体系的漏洞时,无意中进入了慈云寺桥一甜品店的女收银员的百度网盘,当时随便看了两眼,突然发现了她的一张裸照,吓得我赶紧关了页面。当时我就想,如果她是我最好的朋友的女朋友,她的裸照被坏人利用漏洞攻击而泄露了,那该多不好呀。 换位思考后,我闭着眼,对着裸照暗暗发誓,保护女网友,人人有责。 此文比较长,建议各位让女朋友不用再等了,让她穿上裤子先睡。 |主流盗号的八十一种姿势 密码类漏洞——密码泄露、暴力破解、撞库、密码找回漏洞、社工库、钓鱼…认证cookie被盗——xss攻击、网络泄露、中间人攻击其他漏洞——二维码登录、单点登录、第三方登录、客户端web自动登录、绑定其他账号登录、oauth登陆漏洞…今天不讲密码安全,今天主要讲讲互联网上常见的一些通行证相关的“其他漏洞” |先稍微讲讲认证cookie的安全目前各大互联网公司的网站大多使用cookie来实现对用户的认证。如果攻击者拿到了这个认证cookie,就可以登录用户的账号了。 cookie安全注意点Httponly:防止cookie被xss偷https:防止cookie在网络中被偷 Secure:阻止cookie在非https下传输,很多全站https时会漏掉 Path :区分cookie的标识,安全上作用不大,和浏览器同源冲突 Httponly:防止cookie被xss偷xss攻击可以获得用户的cookie。但如果cookie加上了httponly属性,js就无法读取,可以保护我们的cookie不在xss攻击中被偷走 但很多安全从业人员觉得cookie加上httponly了,xss就不算什么漏洞了。这当然是无厘头的,xss是标准的html/js代码注入漏洞,它不仅仅只是可以偷cookie,还可以做很多,下面会有很多例子… https:防止cookie在网络中被偷目前主流网站的认证cookie在互联网中都是无保护进行传输的,可能会在网络中被嗅探或其他方式泄露。所以建议安全级别高的网站使用全站https,并且不支持http的访问,而且还要使用HSTS,强制把http的请求转成https请求 Secure:阻止cookie在非https下传输,很多全站https时会漏掉即使有时候你做了全站https,但你的cookie没有加上Secure属性的话。网络中间人可以在第三方页面中强制你使用http访问做了全站https的domain,此时你的cookie同样会在不安全网络中传输。如果加了secure属性,则此cookie只在https的请求中传输 Path :区分cookie的标识,安全上作用不大,和浏览器同源冲突cookie还有一个path属性,这是一个区分cookie的标识,安全上作用不大,和浏览器同源策略冲突。因为,路径A下的xss虽然读不到路径B下的cookie,但路径A下的xss完全可以注入代码进入路径B的页面,然后再去读路径B下的cookie 比较好的cookie方案cookie的不可猜测性httponly+HTTPS+Secure+HSTS 同IP不同port,尽量不要部署多个不同的web服务,因为cookie不区分端口 |通行证的“其他漏洞” 常见的通行证相关功能二维码登录单点登录 第三方登录 app内嵌页登录 绑定其他账号 跨域传输认证信息 oauth登录 …… | 二维码登录的安全风险 1. 无行为确认用户扫描二维码后,系统需提示用户检验二维码的行为。若无确认,用户扫描攻击者的登录二维码后,相当于给攻击者的票授权。案例:可以欺骗劫持进入来往用户的账号—— WooYun: 可以欺骗劫持进入来往用户的账号 2. CSRF漏洞伪造授权请求给票据授权的请求如果是http的,并且可以被攻击者伪造。攻击者可以伪造请求让用户扫描二维码后执行,或让用户以其他形式对攻击者的票据进行授权。一些二维码的授权请求按理说应该只在app端有效,但大多案例中,此请求在web站登陆状态下也是有效,增大了攻击面。案例:微博上点开我发的链接我就可登进你的淘宝支付宝和微博 ——WooYun: 微博上点开我发的链接我就可登进你的淘宝支付宝和微博可盗号可挂马(poc中附若干从洞) 聊着聊着我就上了你……的微信 ——WooYun: 聊着聊着我就上了你……的微信(两处都可以劫持微信登录的漏洞) 修复方案用户扫描二维码后,系统需提示用户检验二维码的行为,告知风险,询问用户是否要执行操作用户确认后的请求攻击者无法伪造,比如和用户身份相关的一个校验token 二维码的授权请求在web登陆状态下不可用,甚至可以使用非http协议,可以减少很多的攻击面 |绑定其他账号的安全风险绑定请求未做csrf防护,攻击者可以构造恶意请求让用户绑定了攻击者的账号。这样攻击者登录他自己的账号后就可以操作用户的资源。 案例:网易某处点开我的链接就会被盗号by子非海绵宝宝 另外绑定了越多第三方的账号,会让你的安全级别降低,因为你的所有账号同时不出事的可能性降低了修复方案通用的防CSRF的解决方案,referrer+token当我在谈csrf或jsonp劫持的时候,曾遇到无数人告诉我referrer可以伪造。我只能说目前我还不知道在浏览器端伪造referrer的方法。如果你可以自己写个程序伪造referrer,那咱俩聊的不是一个事 | 绑定第三方oauth账号登陆的安全风险1、从oauth服务商那获取到accesstoken后,在和本站账号绑定时,未校验state参数,导致绑定请求可以csrf。攻击者可以用csrf估计让你绑定他的账号 2、即使做了state参数的校验。绑定的初始请求,如点击绑定按钮发出的请求未做csrf防护 新浪微博等某些服务商的oauth授权有如下特点,如果当前登陆的微博曾经授权过该应用,那么就会自动绑定成功。所以我们可以找一个新浪微博登陆的csrf漏洞,让用户自动登陆攻击者的微博(新浪有此类漏洞,这里就不详细写出)。然后再让用户访问绑定请求,这样就完成了对攻击者微博的绑定。攻击者使用微博登陆就可以进入用户的账号 案例:点我的链接我就可能会进入你的果壳账号 关于oauth的更多安全总结,可以参考文章:OAuth 2.0安全案例回顾 | 认证cookie的不规范传输安全风险认证cookie本应该只出现在http请求中,并且在浏览器端的存储中加了httponly属性,是不会被xss攻击盗取的。但某些功能架构中,认证cookie的不规范传输和使用可能会导致认证cookie泄露 页面或接口数据输出了当前用户的认证信息,可能被当前页面的XSS攻击利用 ssrf接口传输cookie给第三方 案例: 通过一糯米XSS可绕chrome并可用两种方式拿到httponly的BDUSS(大部分非IE用户点击后百度云盘资料会被泄露) 微博上你点我的链接我就可xss你并可拿到httponly的cookie及其他危害 |单点登录的安全风险 单点登陆的简单原理需求:如果用户已经登陆B站,则自动登陆A站实现:用户访问A站,A站把用户跳转到B站,B站验证用户已登陆,给用户一张票,用户拿着票去找A站,A拿着票去B那,验证成功后放用户进去下文中将大量出现如下示例站点 A:http://www.B:http://passport. 举例:用户访问http://passport./login.php?url=http://www./a.php B站检验A站是白名单域后,然后302跳转到 http://www./a.php?ticket=****** 然后a.php用ticket参数去B站验证用户合法后,再给用户种认证cookie 偷认证信息的大概流程如下,后面会细讲。总之攻击的目的就是,拿到用户的ticket信息 |常见的漏洞场景互联网上常见的几个单点登陆场景,通行证或第三方站给的登陆凭的证使用的方式各有不同,分别该怎么偷。 场景1、直接使用票据来做验证http:///a.php?ticket=XXXXXXXXXXXXXXXX服务端使用此ticket去sso验证此用户身份,然后在本域种认证cookie 偷的思路:让我们构造的页面获取到凭证后请求我们控制的服务器上的资源,这样referrer里就有ticket信息了偷的几种方式:找能发自定义src的图片的页面去sso取票,带着ticket信息的页面会发起图片请求,图片服务是我们自己的,我们可以读到请求中的referrer,referrer中会包含ticket信息找能发自定义src的iframe的页面,iframe请求中的referre有ticket 找一个有js跳转漏洞的页面去取票,跳转目的地址是我们的服务,js的跳转是带上referrer的,读取此请求的referrer,里面包含ticket 如果img和iframe的src值只允许白名单域的url,那就再找一个白名单域的302跳转漏洞来绕过白名单,302跳转可以传递上个请求的referrer Xss获取地址栏信息 示意图如下,如下是我画的一个chrome浏览器,地址栏里ticket参数会被包含到下面的一些元素的请求的referrer中 参考案例: WooYun:微博上你点我发的链接我就可以登上你的微博(web版和app端均可两个漏洞一并提交) 场景2、中间页接收ticket完成认证,然后用js跳转到我们的目标页http:///login.php?ticket=XXXXXXXXXXXXXXXX&url=http:///a.php此时会种上认证cookie然后页面会使用js跳转到http:///a.phplocation.href=“http:///a.php”; 例子:某绑定了微博账号后可以自动登陆的网站 偷的几种方式找一个有302跳转漏洞的页面如b.php,发起单点登陆请求,然后带着ticket信息的b.php会跳转到我们的服务上。因为js的跳转会带referrer,然后再通过302跳转把referrer传给我们能控制的页面Xss获取当前页面referrer 场景3、中间页接收ticket完成认证,然后用302跳转到我们的目标页如下的多个302跳转:http://passport./login.php?url=http://www./a.phphttp:///login.php?ticket=XXXXXXXXXXXXXXXX&url=http:///a.phphttp:///a.php偷的方式:Xss创建iframe,种超长cookie,让含ticket的302拒绝服务,然后使用iframe.contentWindow.location.href读取最后的iframe的当前地址拒绝服务还有个好处,防止某些ticket有防重放的防护案例:网易用户登陆状态下点我的链接我就可进入其邮箱、云笔记等服务 如上方法不适用于IE的一些版本,因为IE在打不开页面的时候加载的是自己本地的页面,导致错误页和我们的xss页面不同源 修复方案由认证中心来跨域为子站设置认证cookie单点自动登陆需要防护csrf,让用户不能伪造登陆请求 | App内嵌页登录的风险当我们在一个app内打开其公司产品的一些链接,会被加上认证信息去让用户自动登陆。 微博客户端、QQ客户端、微信客户端都曾有或现在正有此问题,一般会加上参数sid、gsid、key 案例:WooYun: 聊着聊着我就上了你……的微信(两处都可以劫持微信登录的漏洞)">聊着聊着我就上了你……的微信 案例:手机版QQ空间身份因素可被盗用 案例:之前的一个手机qq的漏洞,找一qq域下论坛发一张图,然后把此页发给手机qq上好友,他点击就会被盗号 偷的几种方式见单点登录场景一的几种方式用户甚至会通过app的分享功能把认证信息分享到邮件或朋友圈 修复方案不要直接把认证凭证添加到webview的URL来完成认证使用COOKIE,POST都可以 | 跨域从通行证获取到的凭证跨域从通行证获取登陆ticket 形式为类似 http://www./sso/getst.php?callback=jsonp 然后通行证会返回个jsonp格式的数据,里面包含认证信息 案例:微博上你点我发的链接我就可以登上你的微博 偷的几种方式存在jsonp劫持漏洞Referrer限制不严格,可以通过字符串匹配绕过。或者支持空referrer,可以用一些技巧发出空referer请求来绕过 Xss漏洞,去跨域请求此接口得到数据 修复方案架构上就不该使用此种方案app和web的接口不要混用,要保证接口的干净单一。我遇到过一些案例,web和app为了互相兼容,而降低了本身的安全策略,或使用了不合理的架构 |主流SSO的一些问题如上都是漏洞信息,但有时候还有些架构上的小问题可能会导致出现漏洞,或者让攻击者的漏洞利用更方便。 常见的sso的一些安全风险如下:各个站的票据通用,很多直接用的就是认证cookie认证Cookie设置保护不够,httponly、secure… sso给子站授权的票据可重放 sso给子站授权的票据有效期特别长 认证信息传输未使用https sso未加入IP或UA等风控策略 攻击者偷到票据后可轻易使用并无报警 票据的交互流程保护不严,容易被漏洞偷。(好的流程应该是由sso来跨域颁发) 修改密码后认证cookie未失效 用户退出登录后认证cookie未失效 自动登录,绑定,退出等敏感功能,无csrf防护 绑定了第三方账号,降低自己的安全等级 App和web接口混用,导致安全级别降低 案例:你windows上开着QQ点了我的链接我就进了你的qq邮箱财付通等(任意腾讯xss拿qq的clientkey) 这个案例里除了xss漏洞,有两个安全设计上的问题,就是上面提到的: 认证Cookie保护不够 自动登录,绑定,退出等敏感功能,无csrf防护 总结网络是我家,安全靠大家。保护女网友,帮她加把锁。 篇四 : 锚文字如何在网站内部链接做好网站的内部联接对蜘蛛爬行和录入有非常重要的意义,本溪网络推广内部联接对页关键字有关性也有影响,最主要的即是内部联接中运用的锚文字. 锚文字是告诉搜索引擎联接页面主题和内容,外部联接锚文字大多数是无法控制的,内部联接锚文字则彻底可以由站长设定,锚文字中呈现彻底匹配的关键字,有助于跋涉联接政策页面的有关度,以及宣告联接页面的有关度,当然这方面还要防止过度优化,除了一部分运用彻底匹配关岛司做锚文字外,最好有一部分锚文字具有天然多样性. 锚文字呈现的方位不能会合在导航或页脚中,而需求懈怠在正方中,在页脚加上许多重要页面的联接.锚文字运用彻底匹配关键字,早年是一种委垢优化方法,效果也早年很明显,本溪网络推广不过近几年这种页脚过度优化常常是排行赏罚的缘由之一. SEO专题推荐:关键词优化专题:网站关键词优化没效果?来这里学习最实用的关键词优化技巧!内链优化专题:最能提升网站权重的内链部署优化技巧与方法 外链建设专题:高质量自然外链怎么做?读完这些你将质的飞跃 网站降权专题:2015年最有用的网站降权、被K、被黑、被攻击的解决方法 用户体验专题:学习完这些,作为站长的你可以秒懂如何做网站用户体验 行业网站专题:优化行业网站的“葵花宝典”看完后无优化压力 |
|
|
