Web 安全之 XSS 和 CSRF 备忘

2021-03-29

XSS

跨站脚本攻击（Cross Site Scripting）

攻击方式

通过input和textarea注入
嵌入 JS 脚本
img 的 onerror
直接使用 URL 参数

防御方式

输入验证、过滤
Content-Type
Session、验证码

CSRF

跨站请求伪造 CSRF（Cross-site request forgery）

攻击方式

隐式身份验证机制

防御方式

验证 HTTP Referer 字段
验证 token

clickjacking

UI覆盖攻击，点击劫持

攻击方式

使用不可见的 iframe ，欺骗用户进行操作

防御方式

X-FRAME-OPTIONS
顶层判断

同源策略和跨域方法备忘

2021-03-27

同源

同源定义

是指 协议，域名，端口 全都相同

同源策略

限制非同源的访问。

有三个标签是允许跨域加载资源：

<img src=XXX>
<link href=XXX>
<script src=XXX>

跨域

CORS

请求区分

简单请求

使用 GET HEAD POST
Content-Type 的值仅限于text/plain 、multipart/form-data、 application/x-www-form-urlencoded
Accept
Accept-Language
Content-Language
Last-Event-ID

复杂请求

需要用OPTIONS预检。

请求头字段有：

Origin
Access-Control-Request-Method
Access-Control-Request-Headers

服务器相应的响应头信息为：

Access-Control-Allow-Origin
Access-Control-Allow-Methods
Access-Control-Allow-Headers

以及
Access-Control-Allow-Credentials
Access-Control-Max-Age

// 一些例子
Access-Control-Allow-Methods: GET, POST, PUT
Access-Control-Allow-Headers: X-Custom-Header
Access-Control-Allow-Credentials: true
Access-Control-Max-Age: 1728000

postMessage

发送

1	window.postMessage(message, targetOrigin, [transfer]);

接收

1
2
3

window.onmessage = function(e) {
	console.log(e.data)
}

document.domain

只能用于二级域名相同的情况下

通过设置document.domain，实现同域

JSONP

使用JS，需要服务器支持

服务器代理

使用NodeJs或者nginx等服务器作为中介。

其他

标签中添加crossorigin

访问不再不受限制，而是通过使用CORS的方式加载。但是安全性更好，并且有更详细的报错。

1	crossorigin = anonymous \| use-credentials

Flex 布局备忘

2021-03-27

参考阮一峰——Flex 布局教程：语法篇

父容器

启用Flex布局

1
2
3

display: flex;
display: inline-flex; // 行内元素也可以使用 Flex 布局
display: -webkit-flex; // Safari, Webkit 内核的浏览器

子元素的float、clear和vertical-align属性将失效。

主轴方向

1	flex-direction: row \| row-reverse \| column \| column-reverse;

换行策略

1	flex-wrap: nowrap \| wrap \| wrap-reverse;

简写 Of 主轴方向 & 换行策略

1	flex-flow: <flex-direction> \|\| <flex-wrap>;

对齐方式

项目在主轴上的对齐方式

1	justify-content: flex-start \| flex-end \| center \| space-between \| space-around;

项目在交叉轴上的对齐方式

1	align-items: flex-start \| flex-end \| center \| baseline \| stretch;

多根轴线的对齐方式

1	align-content: flex-start \| flex-end \| center \| space-between \| space-around \| stretch;

子元素

对齐方式

覆盖父容器中设置的align-items属性

默认值为auto，表示继承父元素的align-items属性，如果没有父元素，则等同于stretch。

1	align-self: auto \| flex-start \| flex-end \| center \| baseline \| stretch;

项目的排列顺序

数值越小，排列越靠前，默认为0。

1	order: <integer>;

项目的放大比例

默认为0，即如果存在剩余空间，也不放大。

其他正值，会将剩余空间按照值的大小进行权值分配

1	flex-grow: <number>;

项目的缩小比例

默认为1，即如果空间不足，该项目将缩小。

属性为0，则不缩小

1	flex-shrink: <number>; // default 1

项目占据的主轴空间

它的默认值为auto，即项目的本来大小。

浏览器根据这个属性，计算主轴是否有多余空间。

1	flex-basis: <length> \| auto; /* default auto */

简写 Of 放大比例，缩小比例，占据的主轴空间

默认值为0 1 auto。后两个属性可选。

该属性有两个快捷值：auto (1 1 auto) 和 none (0 0 auto)。

1	flex: none \| [ <'flex-grow'> <'flex-shrink'>? \|\| <'flex-basis'> ]

关于Hexo安装中的一些问题和方法

2019-07-01

执行`npm install hexo-cli -g`后无反应

解决方法是要把npm的仓库源换成国内的。

命令如下：

1	npm config set registry https://registry.npm.taobao.org

在Hexo中使用KaTeX的方法

目前看下来最好的方法是使用hexo-katex以及hexo-renderer-pandoc

操作如下：

npm uninstall hexo-renderer-marked --save
npm install hexo-renderer-pandoc --save

npm install hexo-katex --save

并在_config.yml中加入

1 2	pandoc: mathEngine: katex

参考《为 Hexo 更换数学渲染引擎为 KaTeX》

用hexo-abbrlink为博文绑定Disqus（Hexo主题 Journal）

先安装hexo-abbrlink.

然后将\themes\journal\layout\_include\comment_includes.ejs进行修改

var disqus_config = function () {
        this.page.url = '<%= config.url + config.root + page.path %>';
        this.page.identifier = '<%= page.abbrlink %>'; 
        //'<%= config.root + page.path %>';
};