V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  whoami9894  ›  全部回复第 5 页 / 共 34 页
回复总数  661
1  2  3  4  5  6  7  8  9  10 ... 34  
2020-05-04 15:48:48 +08:00
回复了 Aloehuang 创建的主题 JavaScript 关于词法作用域和闭包的一点疑问
你对比一下

let a = 0;
let addone = () => { let a = 10; addtwo(); }
let addtwo = () => console.log(a);
addone()

/*===*/

let a = 0;
let addone = () => { let a = 10; let addtwo = () => console.log(a); addtwo(); }
addone()
2020-04-27 11:46:17 +08:00
回复了 collo 创建的主题 程序员 求助下这是什么编码?
base64 的意义就是把所有字符映射到可见字符,比如我加密后为了方便传输把密文编码成 base64,你这个样本解码后 16 字节,大概率是某种分组密码加密后的数据,你问这个问题没有任何意义
2020-04-25 12:41:28 +08:00
回复了 whoami9894 创建的主题 程序员 SQL 语句 where 子句连等
@tsparrot
'guest'='admin'='admin' => ('guest'='admin')='admin'
'guest'='admin' => 0
0='admin' => 1
所以查出所有 username != 'admin'的记录
@fancy111
@moonlord
果然我就不该回复你们,你俩是一类人。先打牢基础吧,哪来的一股蜜汁自信
@fancy111 他的意思是前端 JS 操纵数据时用 innerText,你这种情况是后端直接渲染 HTML,所以实际不能反驳他对于前端操纵数据的说法


@moonlord
使用 innerText 等做法都是在前后端分离,前端 JS 操纵数据的前提下,后端直接渲染 HTML 返回你直接避过不提?没什么好杠的

@neoblackcap
确实。我的意思的是总有一些复杂的业务场景,所以想寻求一劳永逸的解决方式是不太现实的
@fancy111
虽然我很想挺你,但你这个例子确实不对
浏览器解析 HTML 时会先解析 HTML,然后才是 JS 。也就是说你这段代码里`content.innerText='</script><script>alert(11);</script>'`的第一个`</script>`在 HTML 解析阶段被当做 script 闭合标签了

所以这段代码被交给 JS 引擎解析时是这样的
<script>
var content = document.getElementById("test");
content.innerText='
</script>

<script>
alert(11);
</script>
@moonlord
众人皆醉你独醒?
@whoami9894 #20
可以看看我这段回复 V 站是怎么过滤的,因为是标签外输出点,所以直接 HTMLencode 就完了
XSS 的话,一般情况下对所有符号(`<>"&#`)进行 HTML encode 基本就没问题了,比如 PHP 的 htmlspecialchars 函数。
不过总有一些特殊场景,还是需要开发者有足够经验,比如标签内的输出点:`<a href="javascript:\u0061\u006c\u0065\u0072\u0074(1);">click</a>`

当然 CSP 也是好办法,但一样有不少绕过方式。国内外 SRC 上经常有大厂被挖出 XSS,想一劳永逸解决?不存在的
2020-04-20 22:11:33 +08:00
回复了 getaobj 创建的主题 程序员 cURL 命令转代码在线工具
XHR 的 timeout 设置太短了吧:`Error: timeout of 1000ms exceeded `,我这里都体验不到正常功能了
2020-04-13 21:18:02 +08:00
回复了 whoami9894 创建的主题 分享发现 分享一个今天踩得 MySQL 编码坑
@Vegetable
确实。我原来一直以为输入法只有特殊字符会输入全角
@whoami9894 #38
笔误了
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + urlsafe_base64_enc(HMAC_SHA256(HEADER + DATA, SECRET_KEY))
当然这只是一个示例,实际上 JWT 是对 HEADER 和 DATA 分别编码,然后用"."连接三段 HEADER, DATA 和 SIGN
你可以这样理解 JWT:
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + HMAC_SHA256(urlsafe_base64_enc(HEADER + DATA), SECRET_KEY)
HMAC 的意义是保证了不知道 SECRET_KEY 的情况下可以拿到 DATA 明文,但无法篡改
当然这是 HS 的情况,另一种 RS 则是通过 RSA 私钥签名,公钥验证
@yech1990 具体的记不太清了,能不能实现 substitute 存疑

这篇文章是用 Clojure 举例的: https://liujiacai.net/blog/2017/10/01/macro-in-action/#syntax-quote-amp-unquote,不同方言的实现也不太一样
感觉跟语言本身的求值方式有关,函数内可以判断参数是 symbol 还是 literal,而且我试了一下 substitute 能 resolve 到外部调用函数时的 symbol 名称
没写过 R 看不太懂,什么情况下需要 substitute 函数的功能? Lisp 的话,syntax-quote 能做到吗?
2020-04-03 15:01:42 +08:00
回复了 monkeyWie 创建的主题 程序员 技术博客真就套娃啊
原来写的博客还有被机翻成英文抄的
Y9000X 五月新机已经确定是锐龙 4800H 了???
2020-04-02 11:49:52 +08:00
回复了 wangbenjun5 创建的主题 程序员 这就是我为什么从 PHP 转向 Go 的原因
直接怼回去啊,对面试官说:问这种问题,你的水平可想而知
2020-03-27 20:18:43 +08:00
回复了 kisshere 创建的主题 程序员 想从 Win10 迁移到 manjaro 作为主力,这么做有没有意义?
洗手.jpg
2020-03-27 20:09:54 +08:00
回复了 whoami9894 创建的主题 问与答 请教 V 友,暑期实习 offer 确认后不去会有负面影响吗
@fishCatcher
如果我就是冲着转正去的话,PCG 相比其他部门呢?还有我听说鹅厂内部转岗很方便,前辈了解吗?
1  2  3  4  5  6  7  8  9  10 ... 34  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2150 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 32ms · UTC 01:28 · PVG 09:28 · LAX 17:28 · JFK 20:28
Developed with CodeLauncher
♥ Do have faith in what you're doing.