設計最痛苦的事莫過于找不到合適的素材,無奈手繪能力又不佳。現成的素材不僅有助于提高工作效率,更能讓設計師在學習中獲得更大的進步。今天搜羅君為大家推薦10個超!級!好!用!的免費素材網站,讓你不再為找不到素而材浪費時間。
http://www.sccnn.com/
素材中國頁面雖不如后面幾個網站簡潔美觀,但使用起來十分方便快捷,無需注冊登錄,看到需要的直接點擊下載就可以了,不帶一點廢話。
素材中國不僅有矢量圖庫,當然還有高精圖片、字體、3D圖片、圖標等素材,也可以輸入關鍵詞進行搜索,可以滿足設計時的基本需求。
至于缺點嘛,部分素材會略帶“某寶風”,或者風格有點過時,但看在它免費又方便的份上,當然是選擇原諒它啊~
要注意的是素材中國所提供下載的資源(包括素材、軟件等),版權歸原作者所有。僅供學習交流之用。
http://www.sucaitianxia.com/
和素材中國類似的網站,一樣免費免注冊登錄,但是下載的時候會比素材中國要多跳轉一個頁面。
素材涵蓋的范圍非常大,從矢量素材到PPT模板、網頁模板、flash模板、圖標、字體、筆刷,應有盡有。
整體素材更偏向商業應用(如果接商家外快可能用得上),專業學習就不推薦了。
http://588ku.com/
千庫網可以用微信或QQ登錄,一個賬號一天只能免費下載兩個素材(就算是點了下載但沒有真正確認下載下來也算),買一個會員可以無限量下載(包括商用)。
種種限制也抵不過它真的很好用啊!素材的種類特別多,滿足各行業的需求,可以按風格、用途等查找素材。
下載的時候可以選擇源文件或是PNG免摳素材,方便各取所需,節約時間。網站的素材更新很快,現在上去看已經有雙十二、圣誕節、2018年的素材了,而且審美還是能跟上潮流的。
同時千庫網的頁面簡潔美觀,沒有各種浮窗小廣告。
PS:類似的還有千圖網。
http://www.lanrentuku.com/
懶人圖庫墻裂推薦!免費下載,無需注冊登錄,無彈窗無廣告,頁面相對簡潔。
懶人圖庫更注重于網頁設計,有JS代碼、網頁素材等,當然也有矢量素材、PNG圖標。值得一提的是懶人圖庫的在線懶人工具箱,像漢字轉拼音、人民幣大寫轉換、HTML/JS互轉等,簡單實用。總結一下,懶人圖庫綜合能力滿分。
懶人圖庫所提供的資源均來源于互聯網,版權歸原作者所有。
http://sc.chinaz.com/
十項全能選手,矢量素材、圖片素材、字體、筆刷、音效、簡歷、ppt、3D模型、腳本代碼,就連QQ表情都囊括在內了。雖然小廣告遍布,但是有這樣免費免注冊全能的海量素材網站,夫復何求?
因為內容量大,廣告又多,所以網站看起來有點混亂,但是看在免費的份上,還是忍忍吧。
http://www.easyicon.net/
外國的矢量圖標網站,支持中文,免費下載,無需注冊登錄,沒有小廣告,頁面簡潔,用戶體驗不錯。
Easyicon的素材種類不多,非常專一,就是一些簡單的免摳小圖標。優點是它更個性化,有各種格式可選,支持在線格式轉換,一個圖標有多個尺寸可以選擇,底下還有類似圖標的推薦。分類搜索時也可以按顏色、熱度、尺寸來搜索。
http://www.iconfont.cn/plus
iconfont可以用新浪微博登錄,免費下載,頁面真的有點好看。
iconfont從名字就可以看出來就是專注圖標設計的,它也確實專業,各種風格圖標都有,線性的、扁平的……
圖標都是按照一個個集合歸類的,每一個圖標都可以單獨下載。更要命的是,它可以在線更改圖標的顏色、尺寸,還有多種格式以供下載,簡直不要太好~
這么好的網站竟然免費,太有良心了,當然你可以選擇給作者打賞,支持一下原創。
版權歸原作者和來源網站所有,當然它真的非常適合學習交流icon設計,有需要的可以在它“幫助”一欄下載圖標設計模板,自己練練手,順便上傳作品,說不定有人給你打賞。
https://www.toptal.com/designers/subtlepatterns/
subtle patterns是一個簡單粗暴的英文網站,直接點擊“download”就可以下載了,免費免注冊登錄,頁面干凈沒有小廣告。
subtle patterns是紋理素材網站,紋理素材適合做圖片底紋或者自制筆刷,特別適用于室內設計。
https://www.iconfinder.com/Vecteezy
Vecteezy可以免費下載圖標,不用注冊,沒有小廣告。
Vecteezy里有很多可愛的小圖標,也提供了各種下載格式,方便使用。
要注意的是Vecteezy并不是全免費的,只有標明“free”的圖標合集才可以免費下載。但首頁推薦的都是免費的,而且免費的就已經很好看了。
至于它的付費下載就不是很方便了,只支持VISA / MasterCard / American Express / PayPal。
https://www.vectorportal.com/
Vectorportal,專注矢量素材的英文網站,直接下載就可以了,免費免注冊,有一點點不影響使用的小廣告。
Vectorportal的矢量素材偏向歐美風格,除了矢量素材,還有一些筆刷供下載。
在vector(矢量)分類已經把素材歸類了,也可以用搜索尋找素材。缺點就是素材的量不夠多。
10個免費的素材網站已經全部供上,就看大家怎么利用了,希望大家在模仿與學習中獲得更大的進步哦~
如果有什么小編沒有搜到的網站,趕緊在文章底下留言吧!
【上期回顧】拒絕成為「佛系」90后,精選4款運動APP讓你身體up!up!up!
我系搜羅君,只求為你搜羅萬千中實用有趣的APP和高效率工具,助你精益求精,提高效率,走向成功!
感謝提高一個我們相互交流的平臺!
1、確保你優化的是正確的目標關鍵詞
人們在設立目標關鍵詞的時候,經常犯下方的三個錯誤:
你可以通過這一點來解決前兩個問題:每一個頁面/文章,只需要設定一個特定的主關鍵詞或者是關鍵詞主題。
小提示:
避免在多個網頁上定位相同的關鍵字也很重要。這是因為谷歌通常只會選擇對其中一個頁面進行排名,而這個頁面,可能不是你希望他們排名的頁面!如果你先選擇正確關鍵詞的,那么就將你的頁面發送給朋友并詢問:“想看這個頁面的內容時,你們會去搜索什么”
他們的答案通常會提供最佳的關鍵字創意,但是,在確定之前,需要通過谷歌去搜索這個關鍵詞。為什么?因為搜索結果可以幫助你了解谷歌是如何看特定的關鍵詞。谷歌呈現的是往往這個關鍵詞最好排名結果。如果這個排名結果,不是很理想,那么,這個關鍵詞很可能也不是最佳的目標關鍵詞。
2、通過關鍵詞意圖分析,避免出現有“特性”的關鍵詞
有時在進行研究時,你可能會發現一個搜索量特別多的關鍵詞。但僅僅因為一個關鍵詞具有較高的搜索量,并不代表它將是最佳的目標關鍵詞。你必須考慮關鍵詞背后的“關鍵詞意圖”。
例子:“Google Analytics(谷歌分析)” 似乎是一個很好的關鍵字,乍一看,似乎可以嘗試去排名。
在美國,這個詞每個月有100萬的搜索量!但是…這些搜索中,絕大多數的人只是希望登錄谷歌分析工具。他們可能甚至都不會注意到排名在第二的頁面。這個詞,每月有1,900次的搜索。這個多半是用戶希望尋找谷歌分析工具的使用指南,這意味著它可能是一個非常不錯的關鍵詞。
但請記住,并非所有的關鍵詞設定都是看搜索量的(除非你做廣告)。你最希望的是,讓能夠為業務帶來價值的關鍵字參與排名(即那些能帶來流量,并轉化為潛在客戶的關鍵詞)。因此,你必須通過關鍵詞意圖分析去定位關鍵詞。
以下是一些有助于識別有 “特性”的關鍵詞問題:
如果這些問題的答案都是“不”,那么你可能是找到了一個有 “特性”的關鍵詞。可能選擇這個詞匯作為目標關鍵詞不是一個好的選擇。
3、新域名權威性低?找到低難度關鍵詞快速排名!
你如果用一個很難讓人記住的新域名做網站,就很難對有競爭力的關鍵字進行排名。當然,在后期可以做到排名的,但這并不容易。你可能需要創造非常優質的的內容,然后像瘋狂的的宣傳這個內容。
所以,新站優先針對競爭力較弱的關鍵字進行優化,是有道理的。這是算是新站增加搜索流量最快的方式。
例子:
與 “Search Engine Optimization”(搜索引擎優化)相關的大多數關鍵詞,具有非常高的關鍵詞難度。但是,有一個關鍵詞難度非常的低的詞匯,似乎更容易排名。比如:“What does SEO stand for”(SEO的意思是什么)
4、你可以找到競爭對手流量較大的詞匯,同時把它“偷”過來!
如果你能確切了解競爭對手排名的關鍵字,以及這些關鍵字帶來的搜索流量,那就很棒啦!如果同時你可以把它變成自己的那就更棒了。但是這個仍然需要你去做好大量的分析和調查。
5、通過特定關鍵詞排名第一的頁面,了解特定頁面的“流量潛力”
大多數頁面不單單只有特定關鍵詞參與排名,同時會有很多長尾詞也參與排名。例如:這個頁面,“Key-word research”(關鍵字研究)即主要關鍵詞,是有排名的。同時,它還參與了 “How to do key-word research”(如何做關鍵詞研究),“SEO Key-word research”(SEO關鍵詞研究)以及許多其他的術語的排名。
因此,查看主要關鍵字的搜索量,不會告訴我們頁面的真實的流量潛力。那么,您如何判斷關鍵字的流量潛力呢?簡單檢查排名第一的頁面能夠獲得多少流量就可以了!那就回頭看看你的網站關鍵詞的流量吧。
6、 找到自己與競爭對手的內容差距,并補充這些內容!
“Con-tent Gap”(內容差距),指的是,競爭對手參與的關鍵詞排名,而你沒有參與的部分。這個就很糟糕了,這或許就是你與競爭對手之間的最大的差距。
如果你現在意識到這個問題,那么就應該去仔細看看你最強大的競爭對手的網站和你網站內容之間的差距在哪里,查漏補缺。
7、找到和你設置的關鍵詞相關的問題,并且提供對應的問題提供答案。
找到你的關鍵詞所有可能出現的問題,并且為它們編輯好完整優質的答案,為你的官網引流。
Quora排名第3的關鍵詞“SEO lead”(SEO線索),每月有450次搜索。我們需要做的就是,圍繞這個問題創建對應的內容:“Is it a good idea to buy SEO leads?”(購買SEO客戶線索是一個好主意嗎?)。
現在是時候圍繞這些關鍵詞去創建一些內容了。這可以說是SEO最重要的方面。 畢竟,如果你沒有內容,你就無法排名!但是內容創建不僅僅是在頁面上添加幾個單詞。 或者花錢請一個蹩腳的文章作家就可以完成的。
8、查找關于關鍵字的比較受歡迎的有趣內容。
想要為關鍵字排名,但卡殼在內容創意上?為什么不先參考一下已經存在的,并且最受歡迎的內容呢?
9、在你的內容當中加入真實的案例研究
在定位熱門關鍵詞的時候,有一種簡單的方法可以讓你的內容和別人產生差異化。比如,在內容當中包含真實的案例研究。
10、寫一個吊炸天的簡介,釣住用戶的胃口
現在假設有人點擊了你的頁面,這是只是營銷環節的一半。你的下一個工作就是,讓他們留在你的頁面中。 這就是為什么在內容最開始簡介部分,需要絕對的吸引用戶。
以下是編寫簡介的三個技巧:
前兩個是非常簡單的,但你如何吸引讀者繼續閱讀呢?這時,你需要讓他們對后面的內容保持好奇并讓他們不退出!其中的一個“訣竅”就是,在開始時告訴用戶內容中有非常的核心點,但是推遲告訴用戶,讓他們保持對內容的好奇。這有助于保持用戶能夠參與閱讀,一直到內容結束。
11、讓你的內容以及內容摘要超級利于閱讀!
沒有什么比點擊搜索結果之后,看到一堵文本墻更可怕的了,我反正絕對不會閱讀這樣的內容頁面,你需要不惜一切代價,避免這種情況的出現。
以下是一些技巧,可以讓你內容不但豐富,并且清晰且易于閱讀:
12、 別單純為了SEO而進行內容制作
不要百分百相信“內容越長對SEO越好”。情況并非總是如此。如果有什么東西應該精簡,那就精簡。此外,盡一切努力去除寫作中不必要的毛刺。
13、添加內鏈(有利于用戶,同時可能會提升你的SEO效果)
也許你的內容豐富,而一個頁面的版面有限并不能完全能將內容呈現出來,這個時候你繼續創建一個相似的內連接,來呈現。注意:頁面的加載速度,和內容的排版。
14、在標題標簽中加入你的核心關鍵詞
肯定會有一些情況,頁面標題標簽中沒有出現關鍵字的情況下參與排名(鏈接幾乎可以勝過任何東西)。但是標題標簽中出現關鍵字,與該關鍵詞排名之間仍然存在顯著的相關性。
因此,確保你網站上的每個網頁都有一個唯一的標題標簽,并且你的主要關鍵字只出現一次。
我們還建議你在添加描述標簽和H1標簽的時候,也同樣做。保持一個頁面只有一個描述標簽以及H1標簽。 理想情況,在描述和H1的內容中也分別出現一次你的主要關鍵詞。(雖然這不是那么的重要)
15、寫出一個讓瀏覽者不得不點擊的標題(獲得更多的點擊)
如果你的網站目前關鍵詞在搜索結果的第3位,你先想要獲得額外的點擊次數嗎?你只需要讓你的標題變的更加吸引人就可以吸引更多的點擊。你可能只有55個字符可以填充,但是稍微動點腦筋,你可以短短的標題中體現很多內容。
讓標題引人注目,抓住用戶眼球,引發情緒,如果你需要一些有用的想法,那么請看一下Facebook上的一些病毒式網站,那些家伙依靠標題提升超高的點擊率,他們就像瘋了一樣不斷的進行各種標題的測試。
16、正在運營電子商務網站? 將“Purchase intent”(購買意圖)關鍵詞添加到標題中
如果你正在運營電子商務的網站,那么你可定希望在“購買”階段吸引搜索者。例如,搜索 “pur-ple dresses”(紫色連衣裙,復數)的人可能正在尋找:
但是,搜索 “buy pur-ple dress-es” (購買紫色連衣裙)的人更有可能準備購買。因此,只需在標題中添加“購買”這樣的詞就可以吸引更多這些即將購買的潛在客戶。
17、在你的描述標簽中體現你的內容
描述標簽與搜索結果中的廣告類似,但是,它并不總是會顯示出來(有時谷歌會從你的頁面中挑選出更符合查詢的文本作為描述標簽出現),但是當它出現時,一個寫好的描述可以讓你獲得額外的點擊。
別以為你寫了一個描述就會出奇跡。嘗試使用不同的描述書寫方法,拆分測試和實驗,從而最終達到CTR(點擊率)的優化。例如,如果您正在運行電子商務商店,則可以嘗試在說明中包含產品的價格,不斷的進行測試和優化頁面的點擊率。
18、考慮內容的優先級
為什么人們會訪問你的網站?肯定是你的內容?因此,請確保在一秒鐘內,用戶從搜索中點擊你的頁面,可以找到他們正在尋找的內容。至少,你的標題應該是瞬間可見的,并且不需要滾動。
同時,你應該盡量減少使用如下內容,防止用戶偏離你的內容:
19、保證的你網站在任何設備上都非常的完美
確保你的網站應適用于各種設備,操作系統和屏幕尺寸,這意味著要進行移動端自適應優化!同時,你的網站也應該是殘障人士可以訪問的,谷歌的移動優先索引規則即將推出,可能這比以往任何時候都重要,所以把移動端適配優化作為優先事項。
20、通過不斷的圖片優化,從谷歌圖片搜索中獲取流量!
谷歌圖片搜索確確實實可以為你的網站帶來大量流量,尤其是對于那些經營電子商務網站的。為什么? 因為許多人是直接通過谷歌圖片搜索開始尋找信息,而不是常規的谷歌搜索。
但是有一個問題:
谷歌還不夠聰明,無法弄清楚你的圖片中有什么, 你必須告訴他們。因此,請為所有圖片添加描述性的替代文本(可以考慮使用圖片描述),這樣你就可以通過谷歌圖片搜索中獲得額外流量。
同時,你還可以使用描述性的圖片文件名,告訴谷歌你的圖片表達的是什么樣的內容。同時,你還應確保壓縮和優化圖像,以便盡快加載,為什么? 因為這不僅是谷歌圖片的排名因素,同樣也是常規搜索的排名因素。
21、為自己的頁面使用一個精簡的URL
如果你的CMS程序允許,請為你的內容頁面使用簡短,但是目的明確的URL。
原因如下:
22、減少網站內部的“噪音文本”
噪音文本,指的是,一個板塊的文字內容,會重復的出現在你的各個不同的頁面上,如果你的頁面上有大量的其他的內容話,倒不是很嚴重。
但是,對于電子商務網站來說,噪音文本是非常致命的。為什么?因為產品頁面有時只有50個關于產品的獨特的單詞。 然后有關于類似交付條款等等的重復新文字卻又500個單詞。依此類推,幾乎每個產品頁都會重復類似交付條款這樣的板塊。
那么這樣對于谷歌來說是什么呢?谷歌回復:“there’s only 10% unique con-tent on all these pages…they prob-a-bly offer little/no val-ue”(每個頁面只有10%的獨特內容,那么基本上可以判定內容幾乎沒有任何價值)這個意味著,谷歌熊貓算法會無情的懲罰你的網站。
23、針對本地SEO? 在你的網站布局中把你的地址加進去!
你的聯系方式應該在網站上很容易找到,每個網站都應該是這樣,但如果你是針對本地搜索的商家,那么這個就更為關鍵了。 事實上,我建議將你的實際地址和聯系方式添加到每個頁面的頁腳部分。這樣,你既可以把地區信息更好的傳遞給谷歌,同時可以增加用戶對網站的信任程度。
24、選擇一個很酷的品牌域名,而不是讓域名出現關鍵詞
域名中加入關鍵詞,目前只對SEO來說,效果甚微。我們通過頁面優化的研究,發現域名中含有關鍵詞,和SEO略有相關性。 但我們認為這是由于品牌關鍵字略微扭曲了數據結果。
因此,選擇一個很酷的品牌域名,而不是像選擇一個這樣的域名:yourexactmatchkeyword.com 非常的不好看對吧。拋開SEO價值,酷酷的域名,看起來更加的順眼!
25、通過谷歌的建議去優化網站的加載速度!
頁面加載速度是一個排名因素,在其他條件相同的情況下,加載較快的頁面SEO效果,將超過加載較慢的頁面。當我們研究頁面SEO效果的時候,發現加載速度和排名之間的影響很小,但仍然存在影響。
26、如果你在運行Wordpress網站,安裝一個緩存插件
一個好的緩存插件會對你網站的速度產生巨大影響,沒有緩存插件,WordPress在數據庫調用方面相當沉重,當你遇到流量高峰的時候,可能會導致你網站速度變得非常慢。
緩存插件可以為訪問者提供靜態的HTML版本頁面,這些靜態頁面是即時加載的這意味著你的服務器可以處理其它更多的服務期請求。
27、設置移動端加速(AMP)
AMP(Accel-er-at-ed mobile pages,移動端頁面加速)可以說是為了適應移動端訪問速度的一個頁面簡化版本。
谷歌很有可能在未來對做過AMP的頁面進行排名的提升。因為,他們已經開始在搜索中對以加速的頁面加上的特殊標記,你可以在下面的新聞結果中看到AMP標志。
28、設置智能摘要/結構化數據來提升CTR(點擊率)
自然排名相比以往,競爭力更加的激烈,因此,你必須盡一切努力,讓你的排名脫穎而出,從而獲得額外的點擊。智能摘要用來針對HTML進行標注的,可幫助搜索引擎更好地理解網頁內容,非常有意思的是,做完后在搜索結果中會出現某些特殊的效果。
29、找到排名好但是點擊率低的頁面,并提升你的流量
“search ana-lyt-ics report”(搜索分析報告)可能是 Google Search Con-sole 中最有用的報告了。除了找到排名好的頁面之外,你還可以使用該報告,查找低于排名位置平均點擊率的關鍵字,只需要按照排名去排序你的關鍵詞,并查找到排名在前5位,且點擊率較低的關鍵字。
當你找到這些關鍵詞的時候,請嘗試分開測試不同的標題和描述的寫法,以提高你的點擊率并增加一些額外的搜索流量!
30、經常更新你的內容(同時獲得流量的增加)
經常更新的舊內容,可以保持內容新鮮度,同時可以增加搜索價值。
Link Building(鏈接建設)對于SEO來說,鏈接非常的重要,在我們的針對SEO排名要素進行研究的時候發現,鏈接依然是谷歌搜索引擎排名要素中非常的重要的元素之一。
所以,如果你想在搜索中獲得排名.…..你不得不建立鏈接!(光有優秀的內容還是不夠的!)
31、“偷”競爭對手已丟失的反向鏈接!
從競爭對手那里“偷取”丟失鏈接可能不是所有情況下都有效。但是在下面的情況中,是非常有效的。
32、專注去做那些能夠帶來流量的鏈接(鏈接建設的黃金法則)什么樣的鏈接最有效?
簡單,當然是能夠帶來流量的鏈接最好啦。(畢竟,這不就是鏈接本身的目的么)任何一個可以直接給你帶來流量鏈接,都會給你的業務帶來效益,同時也利于SEO優化。
小提示: 請記住,這里只顯示預估的自然搜索流量; 網站/網頁可能有更多來自其他來源的流量(例如推薦流量,PPC等) 同時我們會低估自然流量值。因此,這里只應作為粗略的數據參考。
同時,你也可以通過頁面的其它數據去進行參考、判斷。
33、別老是關注“nofollow”,多關注“鏈接質量”
Dofollow的鏈接目前仍然更適合排名,但普遍認為,nofollow鏈接確實也會對SEO有一些影響,無論哪種方式,在你的反向鏈接配置文件中混合使用這兩種類型的鏈接是最好的選擇。
因此,不要過于關注鏈接是否為dofollow或nofollow。如果它是一個高質量的鏈接(即它可能帶來推薦流量),那么就大膽的去制作吧!
34、使用關鍵詞錨文本鏈接,但是不要過度!
我們最近對16,000個關鍵字進行了一項龐大的研究,發現錨文本中的關鍵字使用,依然對搜索排名產生劇烈的影響。
但是,我們還發現精確匹配錨文本鏈接占比約為2%,而部分匹配占比約為30%。這意味著只有大約1/3的鏈接應包含你需要排名的關鍵字,任何高于這個值的錨文本外鏈比例,都可能會受到谷歌的懲罰。
35、去除一切垃圾鏈接(并且避免劣質鏈接的出現與傳播)
如果你是真心想做好的業務,請不要浪費時間去建立垃圾鏈接,因為垃圾鏈接根本沒有用處。無論怎么樣,定時的去檢查你的低質量或可疑鏈接都是有幫助的。 因為這些鏈接都可能導致你的網站被降權。
當然,同時,你可能還需保持觀察優秀鏈接的狀態,理想情況下,應刪除任何看起來可疑或質量較差的鏈接。
建站是一件很麻煩又相當復雜的事情,小蜜蜂有一套完全符合SEO優化的建站服務系統,可以幫你解決所有SEO優化中遇到的各項難題。
同時,建一個優質的網站,在沒有經驗的情況下,最快捷的方式就是:借鑒。
上文也講到了,去看同行的關鍵詞,去看他們丟失的網站,去模仿他們的展現,去看他們的引流方式及來源,向強大的優秀的對手學習,并且分析他們的優劣勢。
想知道你的網站情況,對你的網站做一個全面的診斷和分析,同時結合競品的情況,做一個高轉化的網站,可掃碼免費咨詢,讓老趙告訴你。(加人請備注:“公眾號上看到,網站分析”)
對了,小蜜蜂營銷是我開的一家外貿數字化營銷建站的公司,這里允許我打個小廣告,畢竟酒香不怕巷子深的的時代已死,王婆賣瓜的時代來臨,如果你正好在迷茫,我把自己推薦給你。
(加!加!加!)
如果喜歡就點個關注吧!
? 往期精彩回顧
◆
一帶一路,中東篇——石油和商機并存
◆
本篇專治:域名選擇疑難雜癥,一次見效!(實用篇)
◆相信我,沒有人能承諾你SEO排名!
◆
外貿展會逐漸衰落,10大趨勢,剖析為何全網營銷成為業績暴增的必然趨勢!
◆這篇文章,會讓你的詢盤轉化率提高80%!
歡迎大家留言分享困惑或者見解!
胡子的長度和憂郁的眼神我察覺到,面前坐著的這位面試官應該有點東西。
渾身上下流露著打過 CTF 的氣場。我像以往一樣,準備花3分鐘的時間進行自我介紹。在此期間,面試官面無表情但很有耐心的聽著我bilibala。
我按照原定計劃順利地介紹(吹)完自己的項目經驗,面試官露出了一絲淡淡的微笑看著我說:
你覺得自己最擅長的是什么?
(我淡淡的回應道:雖然是一名前端工程師,但是我對web安全很感興趣。)
(這三個東西一定要回答的干凈利落,不假思索)
黑客在你的瀏覽器中插入一段惡意 JavaScript 腳本,竊取你的隱私信息、冒充你的身份進行操作。這就是 XSS 攻擊(Cross-Site Scripting,跨站腳本攻擊)。
因為瀏覽器無法區分腳本是被惡意注入的還是正常的內容,它都會執行,況且 HTML 非常靈活,可以在任何時候對它進行修改。
(送分題)
反射型:顧名思義,惡意 JavaScript 腳本屬于用戶發送給網站請求中的一部分,隨后網站又將這部分返回給用戶,惡意腳本在頁面中被執行。一般發生在前后端一體的應用中,服務端邏輯會改變最終的網頁代碼。
基于DOM型:目前更流行前后端分離的項目,反射型 XSS 無用武之地。
但這種攻擊不需要經過服務器,我們知道,網頁本身的 JavaScript 也是可以改變 HTML 的,黑客正是利用這一點來實現插入惡意腳本。
存儲型:又叫持久型 XSS,顧名思義,黑客將惡意 JavaScript 腳本長期保存在服務端數據庫中,用戶一旦訪問相關頁面數據,惡意腳本就會被執行。常見于搜索、微博、社區貼吧評論等。
反射型的 XSS 的惡意腳本存在 URL 里,存儲型 XSS 的惡意代碼存在數據庫里。
而基于DOM型的XSS 攻擊中,取出和執行惡意代碼由瀏覽器端完成,屬于前端 JavaScript 自身的安全漏洞,其他兩種 XSS 都屬于服務端的安全漏洞。
(面試官微微抬起頭,遞給我一張紙。)
(好的,給你降維解釋一波)
(面試官:小伙子圖畫的不錯)
(...太多了)
(沒想到你還愛聽新聞)
CSRF 英文全稱是 Cross-site request forgery,又稱為“跨站請求偽造”。
顧名思義,CSRF 攻擊就是黑客引誘用戶打開黑客的網站,利用用戶的登陸狀態發起跨站請求。
降維解釋:攻擊者誘導受害者進入第三方網站,在第三方網站中,向被攻擊網站發送跨站請求。
利用受害者在被攻擊網站已經獲取的注冊憑證,繞過后臺的用戶驗證, 達到冒充用戶對被攻擊的網站執行某項操作的目的。
[點擊下載美女視頻]()
CSRF 攻擊不需要將惡意代碼注入用戶的頁面,僅僅是利用服務器的漏洞和用戶的登錄狀態來實施攻擊。
CSRF 攻擊成本也比 XSS 低,用戶每天都要訪問大量網頁,無法確認每一個網頁的合法性,
從用戶角度來說,無法徹底防止 CSRF 攻擊。
對稱加密算法就是加密和解密使用同一個密鑰,簡單粗暴
常見的經典對稱加密算法有 DES、AES(AES-128)、IDEA、國密SM1、國密SM4
非對稱加密就是加密和解密使用不同的密鑰。發送方使用公鑰對信息進行加密,接收方收到密文后,使用私鑰進行解密。
主要解決了密鑰分發的難題
我們常說的簽名就是私鑰加密
常見的經典非對稱加密算法有RSA、ECC和國密SM2
不可逆性、魯棒性、唯一性
MD5、SHA(SHA-256)、國密SM3
使用時記得加鹽
AES 是國際上最認可的密碼學算法,只要算力沒有極大的突破性進展,這種算法在可預期的未來都是安全的。
ECC 是目前國際上加密強度最高的非對稱加密算法。
MD5 和 SHA 的唯一性被破解了,但是大部分場景下,不會構成安全問題。一般使用 SHA-256 加鹽即可滿足大部分使用場景。
1. Client 發送 random1+對稱加密套件列表+非對稱加密套件列表
2. Server 收到信息, 選擇 對稱加密套件+非對稱加密套件 并和 random2+證書(公鑰在證書中)一起返回
3. Client 驗證證書有效性,并用 random1+random2 生成 pre-master 通過服務器公鑰加密+瀏覽器確認發送給 Server
4. Server 收到 pre-master,根據約定的加密算法對 random1+random2+pre-master(解密)生成 master-secret,然后發送服務器確認
5. Client 收到生成同樣的 master-secert,對稱加密秘鑰傳輸完畢
(基操,勿6)
HTTPS 在 TCP 和 HTTP 中間加入了 SSL/TLS 安全層。
采用對稱加密的方式加密傳輸數據和非對稱加密的方式來傳輸密鑰,既可以解決傳輸效率問題也能保證兩端數據的安全傳輸。除此之外,為了能夠證明服務器是可靠的,引入了數字證書,讓瀏覽器驗證證書的可靠性。
面試官拿起旁邊已經涼透的烏龍茶,喝了一口。
(小伙子,有點東西)
*請認真填寫需求信息,我們會在24小時內與您取得聯系。