摘要:
原文地址:http://blog.csdn.net/hfahe/article/details/7730944 前言:像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及,在百度或者Google上搜索CORS,搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍,让我等前端同学情何以堪(对比起来,用Google搜到的国外文章,基本都是跨域资源共享的介绍,说明了前端技术在国内外环境和发展的巨大差距)。 我之前《用HTML5实现人脸识别》这篇文章中提到了“Face.com实现了CORS(跨域资源共享)。CORS系统基本上可以让服务器暴露给其它域上文件的Ajax调用... 阅读全文
摘要:
原文地址:http://blog.csdn.net/hfahe/article/details/7727460 前言:HTML5出现后,网络安全更加受到广泛的关注。Web对于网络安全有哪些改进?我们如何来面对越来越危险的网络欺诈和攻击?下面的文章谈到了W3C对于这个问题的最新解决方案。未来有机会的话,我会针对XSS、P3P、同源策略、CORS(跨域资源共享)和CSP进行关于HTML5内容安全的现场分享。 ------------------------华丽的分界线 注意:本文所讨论的API还未最终确定,请在自己的项目中谨慎使用。 万维网的安全策略植根于同源策略。例如http:/... 阅读全文
摘要:
原文地址:http://blog.csdn.net/hfahe/article/details/8049414一、WebSQL安全风险简介 数据库安全一直是后端人员广泛关注和需要预防的问题。但是自从HTML5引入本地数据库和WebSQL之后,前端开发对于数据库的安全也必须要有所了解和警惕。WebSQL的安全问题通常表现为两个部分: 第一种是SQL注入:和本地数据库一样,攻击者可以通过SQL注入点来进行数据库攻击。 另外一方面,如果Web App有XSS漏洞,那么本地数据很容易泄漏,可以想想本地数据库里存储了用户最近交易记录或者私信的情况。二、WebSQL安全风险详析 1、SQ... 阅读全文
摘要:
原文地址:http://blog.csdn.net/hfahe/article/details/7961618一、WebStorage简介 HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。二、攻击方式 LocalStorage的API都是通过Javascript提供的,这样攻击者可以通过XSS攻击窃取信息,例如用户token或者资料。攻击者可以用下面的脚本遍历... 阅读全文
摘要:
原文地址:http://blog.csdn.net/hfahe/article/details/7961566一、从SOP到CORS SOP就是Same Origin Policy同源策略,指一个域的文档或脚本,不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问,我们之前的Web资源访问的根本策略都是建立在SOP上的。它导致很多web开发者很痛苦,后来搞出很多跨域方案,比如JSONP和flash socket。如下图所示: 后来出现了CORS-CrossOrigin Resources Sharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨... 阅读全文
摘要:
原文地址:http://blog.csdn.net/hfahe/article/details/7960705 在今天的2012中国软件开发者大会上,我做了名为《关注HTML5安全》的主题演讲。我个人认为,随着HTML5的普及和发展,HTML5的安全会成为近期带来的严重问题。之所以大家还没有感受到的原因是什么?1、目前HTML5应用还不普及 2、暂时还没有吸引攻击者的关注。 演讲摘要如下(来自CSDN专题): ----------- 我首先介绍了从HTML到HTML5的发展,在在91年当时诞生了HTML,当时只是一个简单的纯文本,并不存在安全方面的风险。而到了96年我们有... 阅读全文
摘要:
原文地址:http://www.csdn.net/article/2012-08-07/2808306摘要:时时关注同一领域中技术牛人的动态和思想,有助于开发者未来的职业发展。本文列出了你在Twitter上必须关注的知名JS程序员列表。他们包括行业的先行者和推动者,同时也包括你可能不认识或者还没考虑关注的开发者。对他们进行关注,你将从中获益匪浅。本文列出了你在Twitter上必须关注的JS程序员列表。他们包括行业的先行者和推动者,同时也包括你可能不认识或者还没考虑关注的开发者。这25位开发者不可能包含所有有影响力和鼓舞人心的开发者。如果你认为还有需要添加到该列表的开发者,请在下面的评论中告诉我 阅读全文
摘要:
原文地址:http://www.csdn.net/article/2012-10-11/2810660-NoSQL-MongoDB-HBase摘要:随着大数据的不断发展,非关系型的数据库现在成了一个极其热门的新领域,非关系数据库产品的发展非常迅速。现今的计算机体系结构在数据存储方面要有庞大的水平扩展性,而NoSQL也正是致力于改变这一现状。目前Google的 BigTable和Amazon 的Dynamo使用的就是NoSQL型数据库,本文介绍了10种出色的NoSQL数据库。虽然NoSQL流行语火起来才短短一年的时间,但是不可否认,现在已经开始了第二代运动。尽管早期的堆栈代码只能算是一种实验,然 阅读全文
摘要:
原文地址:http://www.csdn.net/article/2012-07-26/2807740-JavaScript摘要:JavaScript是一种灵活的语言,这有时使它名声较差,但是往好的一面看,它也向您提供了快速、创造性地编写代码的能力。它提供的属性和方法仅仅是可以实现功能的开始是您的想象力创建了自定义功能。因此,您的想象力没有界限,您编写的代码也没有界限。所有编程语言都具有内部(或内置的)对象来创建语言的基本功能。内部对象是 您编写自定义代码所用语言的基础,该代码基于您的想象实现自定义功能。JavaScript有许多将其定义为语言的内部对象。本文介绍了一些最常用的对象,并简要介绍 阅读全文