离梦之殇 如梦之境

To See Outer. To See Inner.

webpack 备忘

配置

entry

入口,默认值是 ./src/index.js

1
entry: './path/to/my/entry/file.js',

output

输出,默认值是 ./dist/main.js,其他生成文件默认放置在 ./dist 文件夹中。

1
2
3
4
output: {
    path: path.resolve(__dirname, 'dist'),
    filename: 'my-first-webpack.bundle.js',
},

loader

webpack 只能理解 JavaScript 和 JSON 文件

loader 让 webpack 能够去处理其他类型的文件

在更高层面,在 webpack 的配置中,loader 有两个属性:

  1. test 属性,识别出哪些文件会被转换。
  2. use 属性,定义出在进行转换时,应该使用哪个 loader。
1
2
3
module: {
    rules: [{ test: /\.txt$/, use: 'raw-loader' }],
},

plugin

1
plugins: [new XXXPlugin()]

一些JS函数

buildArray

1
2
3
4
5
6
7
8
9
/**
 * 通过 `size` 和 `init` 函数来创建一个数组
 * 
 * @param size 数组的大小
 * @param init 初始化函数:(index) => element
 * @returns {*[]}
 */
const buildArray = (size, init) =>
  Array(size).fill().map((_, i) => init(i));

setDefaultArgs

为一个函数动态地设置参数的默认值。

支持复杂对象,支持链式调用,支持绑定

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
/**
 * 为一个函数动态地设置参数的默认值。
 * 支持复杂对象,支持链式调用,支持绑定
 *
 * 其中的 `getParameterNames` 函数
 * 来自于 https://www.npmjs.com/package/get-parameter-names
 *
 * @param fn 需要设置默认值的函数
 * @param defaultArgs 格式:{ 参数名 或者 参数位置的下标: 默认值,... } 或者使用数组
 * @returns { Function }
 */
function setDefaultArgs (fn, defaultArgs) {
  // See: https://www.npmjs.com/package/get-parameter-names
  function getParameterNames (fn) {
    const COMMENTS = /((\/\/.*$)|(\/\*[\s\S]*?\*\/))/mg;
    const FAT_ARROWS = /=>.*$/mg;
    const DEFAULT_PARAMS = /=[^,]+/mg;

    const code = fn.toString()
      .replace(COMMENTS, '')
      .replace(FAT_ARROWS, '')
      .replace(DEFAULT_PARAMS, '');

    const result = code.slice(code.indexOf('(') + 1, code.indexOf(')'))
      .match(/([^\s,]+)/g);

    return result || [];
  }

  const names = getParameterNames(fn);

  const functionTemplate = (fn, names, defaultArgs) =>
    function ($PARAMS$) {
      const fixedArgs = Array(names.length).fill('_').map((_, i) =>
        arguments[i] || defaultArgs[names[i]] || defaultArgs[i]);
      return fn.apply(this, fixedArgs);
    };

  const template = `"use strict"; return ${functionTemplate}`
    .replace('$PARAMS$', names.join(', '))
    .replace(/^ {4}/gm, '');

  return Function(template)()(fn, names, defaultArgs);
}

/**
 * 基于原型链进行调用的版本、
 *
 * @see setDefaultArgs
 * @param defaultArgs
 * @returns {*}
 */
Function.prototype.setDefaultArgs = function (defaultArgs) {
  return setDefaultArgs(this, defaultArgs);
};

Web 安全之 XSS 和 CSRF 备忘

XSS

跨站脚本攻击(Cross Site Scripting

攻击方式

  1. 通过inputtextarea注入
  2. 嵌入 JS 脚本
  3. imgonerror
  4. 直接使用 URL 参数

防御方式

  1. 输入验证、过滤
  2. Content-Type
  3. Session、验证码

CSRF

跨站请求伪造 CSRF(Cross-site request forgery)

攻击方式

隐式身份验证机制

防御方式

  1. 验证 HTTP Referer 字段
  2. 验证 token

clickjacking

UI覆盖攻击,点击劫持

攻击方式

使用不可见的 iframe ,欺骗用户进行操作

防御方式

  1. X-FRAME-OPTIONS
  2. 顶层判断

同源策略和跨域方法备忘

同源

同源定义

是指 协议域名端口 全都相同

同源策略

限制非同源的访问。

有三个标签是允许跨域加载资源:

  • <img src=XXX>
  • <link href=XXX>
  • <script src=XXX>

跨域

CORS

请求区分

简单请求

  • 使用 GET HEAD POST

  • Content-Type 的值仅限于text/plainmultipart/form-dataapplication/x-www-form-urlencoded
  • Accept
  • Accept-Language
  • Content-Language

  • Last-Event-ID

复杂请求

需要用OPTIONS预检。

请求头字段有:

  • Origin
  • Access-Control-Request-Method
  • Access-Control-Request-Headers

服务器相应的响应头信息为:

  • Access-Control-Allow-Origin

  • Access-Control-Allow-Methods

  • Access-Control-Allow-Headers

    以及

  • Access-Control-Allow-Credentials

  • Access-Control-Max-Age

1
2
3
4
5
// 一些例子
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

postMessage

发送

1
window.postMessage(message, targetOrigin, [transfer]);

接收

1
2
3
window.onmessage = function(e) {
	console.log(e.data)
}

document.domain

只能用于二级域名相同的情况下

通过设置document.domain,实现同域

JSONP

使用JS,需要服务器支持

服务器代理

使用NodeJs或者nginx等服务器作为中介。

其他

标签中添加crossorigin

访问不再不受限制,而是通过使用CORS的方式加载。但是安全性更好,并且有更详细的报错。

1
crossorigin = anonymous | use-credentials

Flex 布局备忘

参考阮一峰——Flex 布局教程:语法篇

父容器

启用Flex布局

1
2
3
display: flex;
display: inline-flex; // 行内元素也可以使用 Flex 布局
display: -webkit-flex; // Safari, Webkit 内核的浏览器

子元素的floatclearvertical-align属性将失效。

主轴方向

1
flex-direction: row | row-reverse | column | column-reverse;

换行策略

1
flex-wrap: nowrap | wrap | wrap-reverse;

简写 Of 主轴方向 & 换行策略

1
flex-flow: <flex-direction> || <flex-wrap>;

对齐方式

项目在主轴上的对齐方式

1
justify-content: flex-start | flex-end | center | space-between | space-around;

项目在交叉轴上的对齐方式

1
align-items: flex-start | flex-end | center | baseline | stretch;

多根轴线的对齐方式

1
align-content: flex-start | flex-end | center | space-between | space-around | stretch;

子元素

对齐方式

覆盖父容器中设置的align-items属性

默认值为auto,表示继承父元素的align-items属性,如果没有父元素,则等同于stretch

1
align-self: auto | flex-start | flex-end | center | baseline | stretch;

项目的排列顺序

数值越小,排列越靠前,默认为0。

1
order: <integer>;

项目的放大比例

默认为0,即如果存在剩余空间,也不放大。

其他正值,会将剩余空间按照值的大小进行权值分配

1
flex-grow: <number>;

项目的缩小比例

默认为1,即如果空间不足,该项目将缩小。

属性为0,则不缩小

1
flex-shrink: <number>; // default 1

项目占据的主轴空间

它的默认值为auto,即项目的本来大小。

浏览器根据这个属性,计算主轴是否有多余空间。

1
flex-basis: <length> | auto; /* default auto */

简写 Of 放大比例,缩小比例,占据的主轴空间

默认值为0 1 auto。后两个属性可选。

该属性有两个快捷值:auto (1 1 auto) 和 none (0 0 auto)。

1
flex: none | [ <'flex-grow'> <'flex-shrink'>? || <'flex-basis'> ]

关于Hexo安装中的一些问题和方法

执行npm install hexo-cli -g后无反应

解决方法是要把npm的仓库源换成国内的。

命令如下:

1
npm config set registry https://registry.npm.taobao.org

在Hexo中使用KaTeX的方法

目前看下来最好的方法是使用hexo-katex以及hexo-renderer-pandoc

操作如下:

1
2
3
4
npm uninstall hexo-renderer-marked --save
npm install hexo-renderer-pandoc --save

npm install hexo-katex --save

并在_config.yml中加入

1
2
pandoc:
  mathEngine: katex

参考《为 Hexo 更换数学渲染引擎为 KaTeX》

用hexo-abbrlink为博文绑定Disqus(Hexo主题 Journal)

先安装hexo-abbrlink.

然后将\themes\journal\layout\_include\comment_includes.ejs进行修改

1
2
3
4
5
var disqus_config = function () {
        this.page.url = '<%= config.url + config.root + page.path %>';
        this.page.identifier = '<%= page.abbrlink %>'; 
        //'<%= config.root + page.path %>';
};
知识, CS, Hexo

Proudly powered by Hexo and Theme by Hacker
© 2021 Rainbow Yang