浅墨

web安全-浅谈xss攻防(二)

前言

上次介绍了什么是XSS以及XSS的三种类型,作为上次小尾巴的总结来说:XSS跨站脚本是一种经常出现在web应用程序中的计算机安全漏洞,是由于web应用程序对于用户的输入过滤不足引起的。攻击者利用网站漏洞把恶意脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,轻者能达到恶作剧的目的,重者可以对受害者采取cookie资料窃取,会话劫持,钓鱼欺骗等各种攻击;分为三种类型,服务端的存储型和反射性,客户端自身漏洞引起的DOM型。这次我简单总结一些常见的攻击对应的防御措施,方便以后学习回顾;

Continue
web安全-浅谈xss攻防(一)

前言

近来反反复复读了一些xss和csrf攻防的一些文章,大体上读完了《XSS跨站脚本剖析与防御》这本书,之前浅浮的以为xss仅仅需要对用户输入内容进行过滤,然而现在重新审视xss的攻击技巧着实令人眼花缭乱。

那到底什么是xss跨站脚本呢?它会造成什么危害?为何它如此流行?它的攻击方式有哪些?作为web开发人员我们应该做的有哪些?

带着这几个问题,反复测试总结了这篇文章,一方面方便自己以后学习回顾,另一方面希望可以帮助到一些想对xss攻防有些了解的人,我相信这篇文章能够帮你理解上面几个问题。想要深入学习,建议还是去学习《xss跨站脚本剖析与防御》,这本书是邱永华先生所著,阿里首席安全研究员吴翰清作的序,细细读来定能有所收获;

Continue
linux下误将ssh密钥写入/root

无论是使用github类似的开源平台还是搭建的git服务器来团队协作开发,我们总是需要使用本地ssh密钥来建立连接,如果要使用ssh服务linux下我们还需要通过终端安装ssh并且开启ssh服务

Continue
requestAnimationFrame优化web动画

requestAnimationFrame 是什么?

在浏览器动画程序中,我们一般会使用定时器来循环每隔多少毫秒来移动物体一次,来使它产生动画的效果。requestAnimationFrame()函数是针对动画效果的 API,告诉浏览器您希望执行动画并请求浏览器在下一次重绘之前调用指定的函数来更新动画,可以把它用在 DOM 上的风格变化或 canvas 动画或 WebGL 中。

Continue
碎言心语-短笔记

可以跟着阿里的狼叔(花名)了解一下前端近些几年的发展。从高中毕业接触前端开发近两年,但从大二才开始了解前端发展的历史和现状,也多少有些认识。

很多情况下,我们都是被动的接受者,这就好像我们拿的手机在更新换代,也就好像我们现在看到的网页和01年相比天壤之别,就像移动互联网时代兴起,我们从pc web慢慢转向移动端。这是一种我们后知后觉的变化趋势

因为我接触移动端稍稍要多于pc web端,
上次张小龙在微信公开课上声称微信用户已达10亿,微信小程序用户达1.7亿,微信悄然俨然成为一个操作系统,因为微信本身封闭,对外界来说,它是一个流量黑洞。眼看入口被微信把持,于是九大浏览器厂商联合发布”快应用”,一方面是为了夺回应用分支的主导权,说直接点就是在反攻”微信小程序”,防止被边缘化。另一方面官方也声称 “移动应用前端化”是大势所趋。

前端快速发展之下,必然改变我们未来的某些习惯。所以善待前端,感兴趣的就多深入些。

Continue
跟着underscore学习防抖和节流

有个开始吧!

网上有很多的防抖与节流的文章,自己也早有耳闻,之前看underscore的代码,也发现了两个与众不同的函数debounce和throttle,仿佛是有特定的用途。学习实践之后便总结下这篇文章。

Continue
Home Archives Tags Menu.eye About Search