文章列表

Error Tracer

, , ,
![2013-05-21_000000]Error Tracer 是一个简单的 JS+PHP 实现的前端错误追踪应用,可以说是为了 FIX 线上的脚本错误而尝试做的一个比较“幼稚”的东西。这个想法几个月之前就有,实际落实发现不过 2~3 天时间。所以,尚有很多可以完善的地方。DEMO 版本的界面山寨了 Node.js 的 ErrorBoard, 现在跑在 Sina App Engine 上。 阅读全文

jQuery 省市联动下拉框插件

最近通宵严重,整理一下碎片化的代码,否则真担心一段时间后忘记了什么。Github代码已经更新,如使用插件,请参考最新代码。把之前写的省市联动的JQUERY插件重写了一下,记录如下: 完成地址:[http://thecdn.sinaapp.com/page/demo/jq-select/] 阅读全文

XSS事项 如何过滤用户输入页面内的正常内容

接下来我们继续了解如何过滤用户输入页面内的正常内容。 阅读全文

XSS事项 如何过滤用户输入的标签属性

, , , ,
由于Web浏览器实行一种[同源策略],脚本(如JavaScript或VBScript)想要访问文档中的资源(包括COOKIES和DOM对象以及DOM对象的属性),则必须和文档处于一个相同的域名,包括端口。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 这种策略是必要的,用来防止页面中加载不安全的脚本,例如从www.张伟是坏蛋.com访问weibo.com的cookies。如果没有这种同源策略的话,假设微博的页面被嵌入了来自张伟是坏蛋这个网站的恶意脚本,那么张伟是坏蛋的恶意脚本就可以修改伪装微博页面的DOM结构和内容,扭曲一些事情,或者获取用户在微博的cookies,进一步去做一些不怀好意的事情。 阅读全文

XSS事项 你所想知道的跨站攻击

本文简单的介绍如何在HTML文档中进行跨站点脚本(XSS)攻击在以及并避免跨站攻击出现的通用方法。如果你不了解什么是跨站攻击,可以查看[跨站攻击介绍]。本文提供的跨站脚本攻击的例子独立于任何特定的模版或者程序。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 举个例子,这里有一个HTML片段: 阅读全文

XSS事项 UTF-7: 消失的字符集

, , ,
说到XSS,不得不提字符集了。UTF-7是为了SMTP而设计的,而SMTP作为电子邮件传输标准之一,其格式为US-ASCII,不允许使用超过ASCII定义的字符范围意外的位元数值,所以说SMTP不支持8位元的数据。UTF-7的出现解决了这个问题,它使用BASE64来表示8位元的数据使用7位元表示不可见的ASCII字符。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org<script>alert(1)</script> 阅读全文

ECMA5 SUPPORT JS

, ,
有的时候,做一些小东西的时候,真的很希望可以使用ECMA5中的JS方法,但是想到IE(ver < 10)不免淡淡的忧桑。无意浏览代码的时候发现了一个几个看似不错的库,收藏一下,回头慢慢浏览,其实很多细节写法很不错。ecma-5.js 阅读全文

JavaScript 打造文件夹关联视图

写在前面,晓珊姐,我不是故意拖稿的!TAT...菜鸟练笔,欢迎斧正,高手勿喷。某些时候,我们需要在网页中实现TreeView和GridView两种视图,用网盘的界面举例吧。实际需求包含并不局限于:文件管理,项目管理,点餐神马的... 阅读全文

JavaScript 作用域链那些事

,
最近做项目中的东西,发现了一些有意思的事情,说起javascript的作用域链, 或许大家都知道,但是大家究竟是否真的掌握了呢?如果你看到了例子中的问题,那么恭喜你,你的javascript很扎实哟!本篇有引用上一篇中的 [从写自己的小脚本库说起]如果阅读代码中有疑问,可以先看上一篇。 阅读全文