文章列表

如何相对正确的书写页面 head

,
清理evernote,看到去年8月10日写的博客改版的计划。许多都已经做到了,许多细节处理或许之后有空的时候,可以写几篇长文出来分享。 经过细节调整,一般情况下,可以在1s之内完整“呈现”页面,这靠的不单单是“页面的输出HTML静态化”这么简单的事情来完成的。 此中大概,如果有兴趣,可以参考:[天下武功,唯快不破] 本篇暂且记录一些未完成的东西,其中每一点差不多都能做成单独的服务或者在网上已经有了成型的产品。 阅读全文

前端重构相关细节贴士

,
一家之言,不一定正确,如果发现问题,请指出,多谢。 这篇不包含太多脚本,因为聊脚本我们需要上下文,需要篇幅。 阅读全文

JavaScript 事件绑定那些事

, ,
JavaScript 事件绑定那些事 写在前面 前一阵拜读了@民工精髓V 前辈的文章,微博有了一些交流,但是不敢苟同现在这个年代还要一点一点进化代码,而不是直接使用较 阅读全文

jQuery 省市联动下拉框插件

最近通宵严重,整理一下碎片化的代码,否则真担心一段时间后忘记了什么。Github代码已经更新,如使用插件,请参考最新代码。把之前写的省市联动的JQUERY插件重写了一下,记录如下: 完成地址:[http://thecdn.sinaapp.com/page/demo/jq-select/] 阅读全文

XSS事项 如何过滤用户输入页面内的正常内容

接下来我们继续了解如何过滤用户输入页面内的正常内容。 阅读全文

XSS事项 如何过滤用户输入的标签属性

, , , ,
由于Web浏览器实行一种[同源策略],脚本(如JavaScript或VBScript)想要访问文档中的资源(包括COOKIES和DOM对象以及DOM对象的属性),则必须和文档处于一个相同的域名,包括端口。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 这种策略是必要的,用来防止页面中加载不安全的脚本,例如从www.张伟是坏蛋.com访问weibo.com的cookies。如果没有这种同源策略的话,假设微博的页面被嵌入了来自张伟是坏蛋这个网站的恶意脚本,那么张伟是坏蛋的恶意脚本就可以修改伪装微博页面的DOM结构和内容,扭曲一些事情,或者获取用户在微博的cookies,进一步去做一些不怀好意的事情。 阅读全文

XSS事项 你所想知道的跨站攻击

本文简单的介绍如何在HTML文档中进行跨站点脚本(XSS)攻击在以及并避免跨站攻击出现的通用方法。如果你不了解什么是跨站攻击,可以查看[跨站攻击介绍]。本文提供的跨站脚本攻击的例子独立于任何特定的模版或者程序。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 举个例子,这里有一个HTML片段: 阅读全文

XSS事项 UTF-7: 消失的字符集

, , ,
说到XSS,不得不提字符集了。UTF-7是为了SMTP而设计的,而SMTP作为电子邮件传输标准之一,其格式为US-ASCII,不允许使用超过ASCII定义的字符范围意外的位元数值,所以说SMTP不支持8位元的数据。UTF-7的出现解决了这个问题,它使用BASE64来表示8位元的数据使用7位元表示不可见的ASCII字符。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org<script>alert(1)</script> 阅读全文

JavaScript 打造文件夹关联视图

写在前面,晓珊姐,我不是故意拖稿的!TAT...菜鸟练笔,欢迎斧正,高手勿喷。某些时候,我们需要在网页中实现TreeView和GridView两种视图,用网盘的界面举例吧。实际需求包含并不局限于:文件管理,项目管理,点餐神马的... 阅读全文

代码注释

, , , , , ,
在绝大多数现代语言中,我们越来越注意源代码的版面和样式,而在绝大多数现代的编辑器中,我们都有了可以依赖的插件,进行版式编排。糟糕的排版会带来很多问题,比如下面这个: 阅读全文