离梦之殇 如梦之境

To See Outer. To See Inner.

Web 安全之 XSS 和 CSRF 备忘

XSS

跨站脚本攻击(Cross Site Scripting

攻击方式

  1. 通过inputtextarea注入
  2. 嵌入 JS 脚本
  3. imgonerror
  4. 直接使用 URL 参数

防御方式

  1. 输入验证、过滤
  2. Content-Type
  3. Session、验证码

CSRF

跨站请求伪造 CSRF(Cross-site request forgery)

攻击方式

隐式身份验证机制

防御方式

  1. 验证 HTTP Referer 字段
  2. 验证 token

clickjacking

UI覆盖攻击,点击劫持

攻击方式

使用不可见的 iframe ,欺骗用户进行操作

防御方式

  1. X-FRAME-OPTIONS
  2. 顶层判断

同源策略和跨域方法备忘

同源

同源定义

是指 协议域名端口 全都相同

同源策略

限制非同源的访问。

有三个标签是允许跨域加载资源:

  • <img src=XXX>
  • <link href=XXX>
  • <script src=XXX>

跨域

CORS

请求区分

简单请求
  • 使用 GET HEAD POST

  • Content-Type 的值仅限于text/plainmultipart/form-dataapplication/x-www-form-urlencoded
  • Accept
  • Accept-Language
  • Content-Language
  • Last-Event-ID

复杂请求

需要用OPTIONS预检。

请求头字段有:

  • Origin
  • Access-Control-Request-Method
  • Access-Control-Request-Headers

服务器相应的响应头信息为:

  • Access-Control-Allow-Origin

  • Access-Control-Allow-Methods

  • Access-Control-Allow-Headers

    以及

  • Access-Control-Allow-Credentials

  • Access-Control-Max-Age

1
2
3
4
5
// 一些例子
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

postMessage

发送

1
window.postMessage(message, targetOrigin, [transfer]);

接收

1
2
3
window.onmessage = function(e) {
console.log(e.data)
}

document.domain

只能用于二级域名相同的情况下

通过设置document.domain,实现同域

JSONP

使用JS,需要服务器支持

服务器代理

使用NodeJs或者nginx等服务器作为中介。

其他

标签中添加crossorigin

访问不再不受限制,而是通过使用CORS的方式加载。但是安全性更好,并且有更详细的报错。

1
crossorigin = anonymous | use-credentials 

Flex 布局备忘

参考阮一峰——Flex 布局教程:语法篇

父容器

启用Flex布局

1
2
3
display: flex;
display: inline-flex; // 行内元素也可以使用 Flex 布局
display: -webkit-flex; // Safari, Webkit 内核的浏览器

子元素的floatclearvertical-align属性将失效。

主轴方向

1
flex-direction: row | row-reverse | column | column-reverse;

换行策略

1
flex-wrap: nowrap | wrap | wrap-reverse;

简写 Of 主轴方向 & 换行策略

1
flex-flow: <flex-direction> || <flex-wrap>;

对齐方式

项目在主轴上的对齐方式

1
justify-content: flex-start | flex-end | center | space-between | space-around;

项目在交叉轴上的对齐方式

1
align-items: flex-start | flex-end | center | baseline | stretch;

多根轴线的对齐方式

1
align-content: flex-start | flex-end | center | space-between | space-around | stretch;

子元素

对齐方式

覆盖父容器中设置的align-items属性

默认值为auto,表示继承父元素的align-items属性,如果没有父元素,则等同于stretch

1
align-self: auto | flex-start | flex-end | center | baseline | stretch;

项目的排列顺序

数值越小,排列越靠前,默认为0。

1
order: <integer>;

项目的放大比例

默认为0,即如果存在剩余空间,也不放大。

其他正值,会将剩余空间按照值的大小进行权值分配

1
flex-grow: <number>; 

项目的缩小比例

默认为1,即如果空间不足,该项目将缩小。

属性为0,则不缩小

1
flex-shrink: <number>; // default 1 

项目占据的主轴空间

它的默认值为auto,即项目的本来大小。

浏览器根据这个属性,计算主轴是否有多余空间。

1
flex-basis: <length> | auto; /* default auto */

简写 Of 放大比例,缩小比例,占据的主轴空间

默认值为0 1 auto。后两个属性可选。

该属性有两个快捷值:auto (1 1 auto) 和 none (0 0 auto)。

1
flex: none | [ <'flex-grow'> <'flex-shrink'>? || <'flex-basis'> ]

关于Hexo安装中的一些问题和方法

执行npm install hexo-cli -g后无反应

解决方法是要把npm的仓库源换成国内的。

命令如下:

1
npm config set registry https://registry.npm.taobao.org

在Hexo中使用KaTeX的方法

目前看下来最好的方法是使用hexo-katex以及hexo-renderer-pandoc

操作如下:

1
2
3
4
npm uninstall hexo-renderer-marked --save
npm install hexo-renderer-pandoc --save

npm install hexo-katex --save

并在_config.yml中加入

1
2
pandoc:
mathEngine: katex

参考《为 Hexo 更换数学渲染引擎为 KaTeX》

用hexo-abbrlink为博文绑定Disqus(Hexo主题 Journal)

先安装hexo-abbrlink.

然后将\themes\journal\layout\_include\comment_includes.ejs进行修改

1
2
3
4
5
var disqus_config = function () {
this.page.url = '<%= config.url + config.root + page.path %>';
this.page.identifier = '<%= page.abbrlink %>';
//'<%= config.root + page.path %>';
};

神经网络和深度学习笔记

前言

这篇博文也算不上什么入门教程,单纯只是记录一下看了3blue1brown的深度学习后的认识和想法。

对神经网络的感觉

我觉得这像是形异但神似的仿生学。

从数不尽的神经元以及神奇而又错综复杂的神经连结的底层,到会哭会笑的自我感知以及充满无穷无尽的创意智慧的顶层,人类对于自己的大脑如何从神经到产生自我意识以及智慧的认识,依然有着断层。尽管对于大脑的研究不断深入,但是这一步,却是始终无法踏出。

所以不再去考虑外形,而是利用强大的算力模拟神经的连结和运转,来期望能够产生智能。

...More

Proudly powered by Hexo and Theme by Hacker
© 2021 Rainbow Yang