前端安全须知 – 淘宝

一、网络安全

机密性(加密)、完整性(防伪造)、来源可靠性(签名)

程序漏洞

二、web前端安全

XSS:Cross Site Script(跨站攻击脚本)

往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行。

 

继续阅读~ 参与评论~

XSS(跨站脚本攻击)和CSRF(跨站请求伪造)安全问题

做网站的或应用的,从一开始就想到要对用户内容做安全处理的,真的很少,我们的产品也无法避免,有经验的都未必会想到,更何况很多人还对此无知。但是我们必须知道这些东西,尤其是用户内容会面向公众可见的那些功能页面。有人已经介绍的很好了,故直接转来记录一下,源自:关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。 11年我记过的一种解决java方案,参见:用Jsoup对用户输入内容的HTML安全过滤

下面是转载正文:
我们常说的网络安全其实应该包括以下三方面的安全:

1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。
2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。
3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击。

继续阅读~ 评论(1)

使用cookie-free domains存放静态资源

所谓的 cookie-free domains 就是在浏览器发送静态内容的请求时不会发送cookies 的域名。

查了查资料,要做到请求静态资源无Cookie,最简单的做法就是: 使用和当前网站域名完全不同的另一个域名来存放js, images, css等资源。比如当前网站是cssor.com,那么静态资源都放在 umitime.com上,在cssor.com请求umitime.com上的资源时,完全不会有Cookie传递。

还有通过二级域名来做Cookie-free domain的,不过稍有些条件限制。域名那么便宜,随便注册一个做Cookie-free domain就行了。

资料来源:

http://farlee.info/archives/yslow-used-cookie-free-domains-wordpress-blog-website-speed.html

http://undefinedblog.com/cookie-free-domain-configuration-nginx/

http://blog.s-shadow.com/?p=285

http://www.aips.me/wordpress-image-independent-domain-name.html

继续阅读~ 参与评论~

对大前端一种分层设想

基本设想是三层(描述并非面面俱到,理解就好):

  • 架构层:负责全局事务,技术选型,建立前端开发基础框架,开发环境部署,建立辅助系统,组织协调各类资源。稍涉及封装层。
  • 封装层:开发通用代码,封装基础方法库,开发模块、组件等。承上之架构,启下之业务逻辑。
  • 业务层:具体页面和交互开发,达成具体业务需求。架构层和封装层为业务层提供支持。

PS: 该分层模式为本人原创定义(如有雷同,纯属天赋),转载者或引用者请注明作者:听雨~。

继续阅读~ 参与评论~

出一个面试题

// 上文
// 接受两个数字,返回 和
function b(n1, n2) {
    return n1 + n2;
}
/**
 * 问: 中间这个地方怎么做可以让下面的调用返回正确结果
 *     意即 使b也可以接受字符串格式的数字参数
 * PS: 不能用重写b方法来实现目的,尽量重用代码
 */
// 中间,请在这里做代码补全

// 下文
b('1', '2'); //能正确得到结果:3

不晓得这样的描述是否能让人领会到我的意图呢?

http://krasimirtsonev.com/blog/article/Dependency-injection-in-JavaScript

继续阅读~ 参与评论~

git subtree更好的管理项目公共资源

抛弃git submodule, 拥抱git subtree。
来源于:http://aoxuis.me/posts/2013/08/07/git-subtree/

使用场景

例如,在项目Game中有一个子目录AI。Game和AI分别是一个独立的git项目,可以分开维护。为了避免直接复制粘贴代码,我们希望Game中的AI子目录与AI的git项目关联,有3层意思:

  1. AI子目录使用AI的git项目来填充,内容保持一致。
  2. 当AI的git项目代码有更新,可以拉取更新到Game项目的AI子目录来。
  3. 反过来,当Game项目的AI子目录有变更,还可以推送这些变更到AI的git项目。用git subtree可以轻松满足上面的需求。

继续阅读~ 参与评论~

摄影,从现在玩起~

【从零开始玩单反】相机参数之一:光圈/快门篇~~!
http://bbs.yzxw.com/forum.php?mod=viewthread&tid=16065&fromuid=1201

【从零开始玩单反】相机参数之二:ISO/焦距篇~~!
http://bbs.yzxw.com/forum.php?mod=viewthread&tid=16301&fromuid=1201

【从零开始玩单反】相机参数之三:怎样正确曝光~~!
http://bbs.yzxw.com/forum.php?mod=viewthread&tid=16659&fromuid=1201

【从零开始玩单反】相机参数之四:白平衡设定技巧详解~~!
http://bbs.yzxw.com/forum.php?mod=viewthread&tid=16710&fromuid=1201

【从零开始玩单反】相机参数之五:如何把照片拍清楚 拍出锐利照片的进阶技巧~!
http://bbs.yzxw.com/forum.php?mod=viewthread&tid=16714&fromuid=1201

【从零开始玩单反】相机参数之六:RAW格式详解及其常用软件~~!
http://bbs.yzxw.com/forum.php?mod=viewthread&tid=16858&fromuid=1201

单反在各种环境拍摄参数设置

了解对焦点与对焦模式

如何利用逆光拍摄细节丰富照片

风光摄影的10个相机设置须知

继续阅读~ 参与评论~

HTML5 XMLHttpRequest中的新功能

来源于:http://www.html5rocks.com/zh/tutorials/file/xhr2/

简介

HTML5 世界中有这样一位无名英雄:XMLHttpRequest。严格地说,XHR2 并不属于 HTML5。不过,它是浏览器供应商对于核心平台不断做出的改进中的一部分。我之所以将 XHR2 加入我们新的百宝囊中,就是因为它在如今复杂的网络应用中扮演了不可或缺的角色。

结果呢,我们这位老朋友来了个大变身,很多人都不知道它的新功能了。2 级 XMLHttpRequest 引入了大量的新功能(例如跨源请求、上传进度事件以及对上传/下载二进制数据的支持等),一举封杀了我们网络应用中的疯狂黑客。这使得 AJAX 可以与很多尖端的 HTML5 API 结合使用,例如 File System APIWeb Audio API 和 WebGL。

此教程重点介绍 XMLHttpRequest 中的新功能,尤其是可用于处理文件的功能。

继续阅读~ 参与评论~

1 2 3 4 5 6 7 8 9 10 11 27 28

全部分类
Books(4)code(7)database(6)html&css(24)java(11)JavaScript(51)jQuery(24)linux(20)python(1)React(1)share(1)soft(4)solution(53)thinking(17)vim(9)WordPress(8)前端优化(12)拓展(33)服务器(33)移动开发(4)自然(22)