文章列表

如何相对正确的书写页面head

查看评论
清理evernote,看到去年8月10日写的博客改版的计划。许多都已经做到了,许多细节处理或许之后有空的时候,可以写几篇长文出来分享。 经过细节调整,一般情况下,可以在1s之内完整“呈现”页面,这靠的不单单是“页面的输出HTML静态化”这么简单的事情来完成的。 此中大概,如果有兴趣,可以参考:[天下武功,唯快不破] 本篇暂且记录一些未完成的东西,其中每一点差不多都能做成单独的服务或者在网上已经有了成型的产品。 阅读全文

XSS事项 如何过滤用户输入的标签属性

查看评论
由于Web浏览器实行一种[同源策略],脚本(如JavaScript或VBScript)想要访问文档中的资源(包括COOKIES和DOM对象以及DOM对象的属性),则必须和文档处于一个相同的域名,包括端口。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 这种策略是必要的,用来防止页面中加载不安全的脚本,例如从www.张伟是坏蛋.com访问weibo.com的cookies。如果没有这种同源策略的话,假设微博的页面被嵌入了来自张伟是坏蛋这个网站的恶意脚本,那么张伟是坏蛋的恶意脚本就可以修改伪装微博页面的DOM结构和内容,扭曲一些事情,或者获取用户在微博的cookies,进一步去做一些不怀好意的事情。 阅读全文

XSS事项 UTF-7: 消失的字符集

查看评论
说到XSS,不得不提字符集了。UTF-7是为了SMTP而设计的,而SMTP作为电子邮件传输标准之一,其格式为US-ASCII,不允许使用超过ASCII定义的字符范围意外的位元数值,所以说SMTP不支持8位元的数据。UTF-7的出现解决了这个问题,它使用BASE64来表示8位元的数据使用7位元表示不可见的ASCII字符。翻译自:[原文出处] VER:Updated Oct 14, 2011 by ivan@ludios.org 阅读全文

从A标签说开去:链接那些事

查看评论
A标签式诞生最早的一批元素,堪称HTML语言中的元老。 我们常常在各种地方看到它的身影,比如说:兄弟,我看你的站气宇轩昂,骨骼惊奇,隐约之中朦朦胧胧透漏出一股王霸之气,咱们加个友链吧,我的站是:http://www.soulteary.com这里的交换链接在HTML中的最基本表现形式就是... 阅读全文

jQuery笔记,自动完成

查看评论
高手莫入,浅显例子而已。最近在更换项目中的javascript库,觉得如果能把实践的过程记录下来,应该可以帮助到一些对javascript感兴趣的前端初学者。 阅读全文