V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  onice  ›  全部回复第 3 页 / 共 59 页
回复总数  1172
1  2  3  4  5  6  7  8  9  10 ... 59  
@xsnowholy 英语学习方法可以看看这本书: https://book.douban.com/subject/26944296/
学好英语,学到雅思 7+。

我和你一年的,我表叔八十年代的人,和我爸同一辈的人,复旦大学开设计算机专业第一批学生,现在依旧在外企搞 IT 。表叔的打算是一直工作到退休,,退休后回老家重庆买房养老。

我目前打算走表叔这条路。先尝试远程,不行的话就去外企,再没活路就只有转行或者是润了。
2024-01-07 17:50:09 +08:00
回复了 lynan 创建的主题 分享发现 来说说你们认为信达雅的翻译吧
no alive slave --> 没有活着的奴隶
2024-01-05 19:38:09 +08:00
回复了 Loxon 创建的主题 程序员 最近好多 GUI 之争,我来给 Electron 站一票,理性讨论
即使是你用 electron 开发,但大多数普通用户根本不会知道你用什么开发。

大多数时候,GUI 并不会要求性能。所以,我个人来说是支持 electron 的。
可能是被挖矿了。试试: https://www.eset.com/cn/for-home/online-scanner/
2024-01-01 17:47:47 +08:00
回复了 balabalaguguji 创建的主题 程序员 这种攻击如何防御?
这种攻击叫 CC 攻击,上 waf 就行了。

https://www.safedog.cn/website_safedog.html
2023-12-29 15:44:08 +08:00
回复了 onice 创建的主题 程序员 写了一些关于打工,中年危机等问题的看法
@IxIIxI 方向就是以技术作为切入点,往管理转。参考这篇博文: http://dearlance.cn/2023/02/19/caac5be8f734/
cpu 是 amd 的吗?是不是开了 tpm 呢?

这两个东西都会倒是卡顿。

参阅: https://post.smzdm.com/p/a7d7lxd9/?sort_tab=hot/
2023-12-22 18:57:19 +08:00
回复了 pianjiao 创建的主题 职场话题 来点实际的!大家第一份工作月薪多少??
17 年成都,实习 1.8K 。转正 4.5K 。
我搭了个 rustdesk
2023-12-17 15:32:42 +08:00
回复了 SaltyMouse 创建的主题 云修电脑 求助,小新 Air15 锐龙版笔记本接绿联拓展坞无法开机
@SaltyMouse 换任何一个拓展坞都是这样子,联想的也是这样。之前问过客服,说是 bios 的 bug 。就是如果插拓展坞开机,bios 不识别拓展坞。
2023-12-16 17:58:43 +08:00
回复了 SaltyMouse 创建的主题 云修电脑 求助,小新 Air15 锐龙版笔记本接绿联拓展坞无法开机
拔掉拓展坞开机,进入桌面后再插拓展坞就好了。

适配器接拓展坞,拓展坞再接笔记本电源接口,最好别这么做。拓展坞没有过载保护,我电脑和你同型号,,这几天刚换了主板。

售后说是适配器坏了,导致主板损坏。如果是适配器接电脑,由于适配器有过载保护,是不会损坏主板的。但由于接拓展坞了,拓展坞没过载保护,所以主板损坏了。
2023-12-09 11:01:23 +08:00
回复了 yaott2020 创建的主题 Linux 你倾向于哪个 Linux 桌面发行版?
Either ubuntu or linux mint.
@Forviler 攻击者也是我们的用户之一,,只不过是不怀好意的用户。所以,我们可以把攻击者看成是正常用户。那么,用户输入的数据,我们肯定不能破坏。例如用户输入 abc ,我们不能为了安全把数据改成 bcd 。所以,实体编码是个好办法。用户输入的数据,关键点在于攻击者输入的数据包含恶意代码,所以用实体编码我们既能让用户输入的数据原样显示在浏览器中,又能让即使是包含了恶意代码的数据不被浏览器解析。

那么我使用富文本的时候是必须要将数据当作代码来进行解析的,所以是不能进行实体编码的操作的么,因为浏览器会把它当作文本来显示。

至于富文本,你说得对,的确是这样子。富文本的业务场景下,我们必须要让浏览器解析用户输入的数据。所以实体编码后,富文本的输入数据不被解析,代码就会原封不动的显示在浏览器中。用户的格式设置就会失效,例如文本背景,字体加粗,图片等。

富文本的场景下宜采用白名单的方式。只允许用户输入特定的 HTML 标签,对用户的输入的数据要严格限制。
@Forviler
针对你当前的场景:

document.getElementById('rf').innerHTML= `<img/src=1 >` ; edge 下会显示为文本
document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签

假如攻击者的代码为:<img/src=1 >,,你在代码中转为&lt;img/src=1 &gt;后,这就是消毒的操作。浏览器页面中会显示<img/src=1 >,但其实浏览器把显示的<img/src=1 >当成&lt;img/src=1 &gt;处理。这么一来,浏览器就不会真的把这串代码当成 img 标签进行渲染了。这样既能够不破坏用户输入的数据,又能够保障代码的安全(不被解析成 js 代码)。

document.getElementById('rd').innerHTML = `<img/src=1 >`; edge 下显示为 标签
这个就是危险的。假如攻击者的攻击代码为:<img/src=1 onerror="alert(xss)">,,由于没有进行编码,这个代码会被当成 js 处理,,浏览器会加载图片,但由于 url 不存在,图片加载失败,触发 onerror 事件,执行 alert 弹窗代码。当然这里仅仅是测试,alert 并不具备危害。但是如果 alert 是窃取 cookie 的代码,这可就危险了。
1  2  3  4  5  6  7  8  9  10 ... 59  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2620 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 52ms · UTC 11:55 · PVG 19:55 · LAX 03:55 · JFK 06:55
Developed with CodeLauncher
♥ Do have faith in what you're doing.