法人系列是一个什么样的概念？

是具有民事权利能力和民事行为能力，依法独立享有民事权利和承担民事义务的组织。简言之，法人是具有民事权利主体资格的社会组织。

我国民法对法人的分类

我国《民法通则》根据法人所从事的业务活动，将法人分为企业法人和非企业法人两大类。

法人：是与公民对称的另一类主体。《民法通则》规定：法人是具有民事权利能力和民事义务能力，依法享有民事权利和承担民事义务的组织。

法人不是人！是相对自然人而言的。法人是具有民事权利能力和民事行为能力，依法独立享有民事权利和承担民事义务的组织。简言之，法人是具有民事权利主体资格的社会组织。

我先解释你第二个问题：是不是所有的企业都要求有一个法人？

提到安全，相信大家的第一反应都是加密，什么MD5、AES、SHA-256算法之类东西。没错加密各种算法是安全的基础。针对于基础的安全设施， Java Security 模块 提供了各种安全域的API、PKI、密码学及其内建实现、安全通信、认证、访问控制等丰富的功能，这些都是安全的基础。在Web应用的开发中，对于各种攻击防守，对于认证、授权的实现实现方案是极为重要的。Spring Security项目就是认证、授权、防攻击实现方案的集成框架。学习框架之前，必须要对安全领域的核心的概念进行梳理，这也是 Spring Security 本身所关注的点。

对请求资源的用户身份进行验证的过程，解决的是“这是谁请求的？”的问题。

确认当前用户是否有权限访问资源的过程，解决的是“他能不能做这个操作？”的问题。

跨站请求伪造（Cross Site Request Forgery）

请求是由外部网站伪造发送到目标服务服务器，而不是由用户主动发送请求至目标服务器这种伪造请求就是叫做CSRF。

同步令牌模式（Synchronizer Token Pattern） ，针对Post请求（避免get，会导致令牌泄漏），在请求参数中（一般是头部）增加同步令牌，服务器校验传入令牌的一致性判断是否是正确请求。请求令牌是从Cookie中获取的，由于同源策略外部站点无法获得令牌。能很好的解决该问题。

通常存在用户Session中。为什么不存在cookies中？这是一种早期处理方案，早期一些系统将token存在cookies中但是会出现了漏洞同 Ruby on Rails的CSRF保护绕过一样 ，同时系统失去了紧急情况下对于令牌的失效保护。web应用开发中关键信息存放在后台是一种比较安全的方式。令牌可能会随着Session过期而过期，可以通过主动取或者被动刷新的方式处理。

SameSite 是Http协议中的一个属性， 参考 。这是一种紧急的方案 ，实现防止CSRF攻击，可以在session cookie中设置如下不同的值：

针对cookie中存储了会话信息的请求如果丢失了cookie就会进入授权登录操作。使用SameSite 属性来防攻击要注意一些用户体验的场景，如Strict模式下邮件发送的地址就会失去了登录态，用户就需要再次登录可能会造成不好的体验。

从应用层面讲一般针对于浏览器用户，非浏览器场景就需要禁止CSRF Protection。对CSRF定义中它是依赖浏览器的，容易和中间人攻击混淆。

特别需要注意的具体场景如 login，logout，multipart是要重点进行CSRF保护。

在HTTP协议中有一些首部用于安全处理，本模块对Spring Security中关键安全首部进行讲解。其他参考： Security HTTP Response Headers ， developermozillaorg

控制浏览器缓存用户浏览内容的首部。Spring Security 默认禁用缓存，可以避免敏感信息的泄露，如用户登录账号查看敏感信息后退出登录恶意用户通过浏览器回退查看到敏感信息。

针对Content-Type不存在的时候是否采用 内容嗅探（content sniffing） 的方式处理控制的首部。为了优化体验浏览器会自动判断响应内容的类型然后进行渲染。禁用sniff可以避免XSS攻击。因为 恶意用户可以创建一个postscript的js文档并用它来执行XSS攻击 。

Http严格传输安全，HTST（Http Strict Transport Security）。很多用户习惯输入不带https协议的域名，中间人可能会拦截到http并窃取https的响应给用户造成中间人攻击。Strict-Transport-Security首部将指导浏览器将其设置为严格的安全传输地址。 参考RFC6797

Http公钥固定（HPKP），用来告诉Web客户端将特定的加密公钥于某个Web服务器相关联，以降低使用证书伪造的MITM攻击的风险。 已被废弃 。

是否允许自己的网站被嵌入到其他网站。用来避免点击劫持（Click Jacking）

针对检测到跨域脚本攻击的中止操作，现代化的浏览器可以通过 Content-Security-Policy 针对不支持CSP的浏览器该保护的是很有效的。该首部没有被全力支持，只有少部分浏览器是支持的如：IE，Safari。

CSP是作为一种向客户端传递安全策略的机制，每一种安全策略代表了一组安全指令，每个指令对资源的呈现做了限制。 Content-Security-Policy , Content-Security-Policy-Report-Only

Referrer 首部标记的是资源最初来源， Referrer-Policy 主要就是控制多少引用信息包含在请求中。

为开发者提供了选择性禁用、启用、修改固定API或者浏览器功能的机制。

提供了通过首部清除浏览器侧数据的方式，例如登出的时候设置首部来清除浏览器侧的相关数据。

来源：FutureLabProgram

Sony在上周三宣布成立FutureLabProgram未来实验室计画，此技术将以开放的角度进行技术创新，与先前FirstFlight企业员工创业群幕网站计画不同的是，未来实验室所研发的技术与产品应该还是属于Sony旗下，而非是由企划者以微型创业为目的；未来实验室计画将提供Sony所设计的概念原型给一些使用者，并进行沟通后探讨产品的未来性与发展方向。

Sony也宣布未来实验室将在美国3月份的SXSW(西南偏西)展示旗下首个系列作品"N"，官网的叙述是解放耳、手以及眼，享受无拘无束的穿戴设备体验，展现全新的使用者介面。从影片中似乎可看到这款音讯装置是挂在脖子上，很可能是扩音设计并可透过语音命令方式进行操作互动，不过在展示研发的概念短片中却又出现将这个原型设备戴在假人头上的情境。

FutureLabProgram，AVWatch

你或许会喜欢

299上网吃到饱即将结束

办4G送荷兰公主果汁机