Category: Javascript /Jquery / React / Bootstrap / Web

上一篇文章，介绍了常见的流量劫持途径。然而无论用何种方式获得流量，只有加以利用才能发挥作用。 不同的劫持方式，获得的流量也有所差异。DNS 劫持，只能截获通过域名发起的流量，直接使用 IP 地址的通信则不受影响；CDN 入侵，只有浏览网页或下载时才有风险，其他场合则毫无问题；而网关被劫持，用户所有流量都难逃魔掌。   在本文中，我们通过技术原理，讲解如下问题： 为什么喜欢劫持网页？ 只浏览不登陆就没事吗？ 自动填写表单有风险吗？ 离开劫持环境还受影响吗？ 使用 HTTPS 能否避免劫持？ 流量劫持能否控制我电脑？ 为什么喜欢劫持网页？ 理论上说，劫持到用户的流量数据，也就获得相应程序的网络通信。但在现实中，数据并不代… Read More

传统的登录框 在之前的文章流量劫持危害详细讲解了 HTTP 的高危性，以至于重要的操作都使用 HTTPS 协议，来保障流量在途中的安全。 这是最经典的登录模式。尽管主页面并没有开启 HTTPS，但登录时会跳转到一个安全页面来进行，所以整个过程仍是比较安全的 —— 至少在登录页面是安全的。   对于这种安全页面的登录模式，黑客硬要下手仍是有办法的。在之前的文章里也列举了几种最常用的方法：拦截 HTTPS 向下转型、伪造证书、跳转钓鱼网站。 其中转型 HTTPS 的手段最为先进，甚至一些安全意识较强的用户也时有疏忽。   然而，用户的意识和知识总是在不断提升的。尤其在如今各种网上交易的时代，安全常识广泛普及，用户… Read More

背景 本文来自于之前我发的一篇微博：     不过写这篇文章并不是为了帮大家准备面试，而是想借这道题来介绍计算机和互联网的基础知识，让读者了解它们之间是如何关联起来的。   为了便于理解，我将整个过程分为了六个问题来展开。 第一个问题：从输入 URL 到浏览器接收的过程中发生了什么事情？ 从触屏到 CPU 首先是「输入 URL」，大部分人的第一反应会是键盘，不过为了与时俱进，这里将介绍触摸屏设备的交互。   触摸屏一种传感器，目前大多是基于电容(Capacitive)来实现的，以前都是直接覆盖在显示屏上的，不过最近出现了 3 种嵌入到显示屏中的技术，第一种是 iPhone 5 的 In-cell… Read More

一直以来，各大论坛和邮箱都允许使用外链图片。一方面解决了上传和保存带来的资源消耗，更重要的是方便用户转载图片。   然而，简单的背后是否暗藏着什么风险呢？大多或许认为，不就是插入了一张外部图片而已，又不是什么脚本或插件，能有多大的安全隐患。   曾经也有过外链图片泄漏cookie那样的重大隐患，不过那都是很久以前的事了。在如今浏览器日新月异的年代里，这样的bug已经很难遇到了。不过利用正常的游戏规则，我们仍能玩出一些安全上的小花招。 No.1 —— HTTP401 （严重程度：低） 大家都见过，打开路由器的时候会弹出个登录框。     如果了解HTTP协议的话，这是服务器返回4… Read More

1. 方法一 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>无标题文档</title> <script sr… Read More

ddSlick 是一个轻量级的 jQuery 插件用来实现定制的下拉组件。 主要特点： Adds images and description to otherwise boring drop downs. Uses JSON to populate the drop down options. Uses Minimum css and no external stylesheets to download. Supports callback functions on selection. Works as good even without images or description. 官网：http://designwithpc.com/Plugins/ddSlick 下载：… Read More

在JavaScript文件里嵌入大量字符串常量是经常遇到的事。有时为了省事，就把一些界面的HTML和CSS直接写在JS文件里。数量少还好，多的话就密密麻麻的一坨文字，讲究美观的文艺青年们，会用大量的字符连接符号甚至加上缩进，强制换成好几行。例如： var html = '<div>' + '<p>Hello</p>' + '<p>World'</p>' + '</div>'; 这还好，要是字符串里有不少双引号单引号，那就更麻烦了，各种转义字符看的眼花缭乱。 其实有个不怎么起眼的小技巧，就能解决这个问题。大家总认为字符串必须在”R… Read More

做过Web开发的朋友曾经都有过这么个念头：在自己的页面里内嵌一个其他网站的网页，然后可以用脚本去获取他们页面里的信息，甚至可以。。。 显然，有这么好的事也肯定轮不到你来尝了：）一个叫沙箱模型的东西被发明出来，就是防止有这种想法的人搞破坏。。。所以现在的我们只能远观，不可亵玩也。   不过，这些规定只是针对脚本而已。假如让用户自己乖乖的去点，那当然是没问题的。但有多少人会去点呢！！ 所以，我们需要施一些特殊的障眼法，让用户在不经意间，就点了我们想让他点的东西：） 就拿上面那个来说吧，如果直接把这个大页面赤果果的硬塞进网页，无论你怎么提示他点，或者说多少好话，大家见了就烦，就是不点：）  … Read More

在这篇文章中，我们将提供最好的PDF浏览器插件。 1. JavaScript的PDF阅读器（JavaScript PDF Reader : pdf.js） pdf.js 基于HTML5实现 在线演示 2. jQuery的媒体插件（jQuery Media Plugin） jQuery的媒体插件支持丰富的媒体内容不显眼的转换标准标记。它支持virtually any media type, including Flash, Quicktime, Windows Media Player, Real Player, MP3, Silverlight, PDF 等等 在线演示 3. 嵌入PDF文件转换成HTML文件（PDFObject : Embeds PDF file… Read More

WordPress博客后台登录输入错误的话登录窗口有左右抖动的效果。弄成jQuery函数方便调用（前提已载入jQuery包） function shake(o){ var $panel = $(“#”+o); box_left = ($(window).width() –  $panel.width()) / 2; $panel.css({‘left’: box_left,’position’:’absolute’}); for(var i=1; 4>=i; i++){ $panel.animate({left:box_… Read More

禁止一切外链资源 外链会产生站外请求，因此可以被利用实施 CSRF 攻击。   目前国内有大量路由器存在 CSRF 漏洞，其中相当部分用户使用默认的管理账号。通过外链图片，即可发起对路由器 DNS 配置的修改，这将成为国内互联网最大的安全隐患。 案例演示 百度旅游在富文本过滤时，未考虑标签的 style 属性，导致允许用户自定义的 CSS。因此可以插入站外资源：   所有浏览该页面的用户，都能发起任意 URL 的请求：   由于站外服务器完全不受控制，攻击者可以控制返回内容： 如果检测到是管理员，或者外链检查服务器，可以返回正常图片； 如果是普通用户，可以返回 302 重定向到其他 URL，发起 CSRF 攻击。例如… Read More

1. Bootstrap 3 响应式上传图片 bootstrap-fileinput 项目地址： https://github.com/kartik-v/bootstrap-fileinput 下载地址：bootstrap-fileinput-master Usage Step 1: Load the following assets in your header. <link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.4/css/bootstrap.min.css" rel="stylesheet"> <link href="path/to/css/fil… Read More

71、 javascript判断鼠标左右键点击-兼容ie、firefox、chrome等各大主流浏览器 72、 javascript获取鼠标当前位置（兼容IE和firefox）     71、 javascript判断鼠标左右键点击-兼容ie、firefox、chrome等各大主流浏览器 document.onmousedown=judgeMouseButton; function judgeMouseButton(e){ var e=window.event||e;//获取事件对象 var value=e.button; if(value==2||value==3){ alert('点击的是鼠标右键')… Read More

——–Facebook、Twitter 及Quora 用户增长团队的产品大牛Andy Johns倾情奉献纯干货———   提要：千万不要将所有建议照单全收,做出一个四不像网站。你应该将此看作测试网站的技巧工具箱，了解对你的产品与用户而言使用这些技巧的优点与缺点何在，以及如何使它们符合你的宏观产品愿景。   “优化注册转化率”这个话题可以扯出一本百科全书的篇幅来。因此我会花大量笔墨来阐述。在此先提醒你们，这将是一篇长文。。（译者注：差不多等于一章书了，所以拆分成上中下三篇）   我认为优化注册转化率的方法概括起来主要就是两大类：   第一大类，站内优化。包括网页设计/文案… Read More