V2EX › whoami9894 的所有回复 › 第 5 页 / 共 34 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 34

❮

❯

2020-05-04 15:48:48 +08:00

回复了 Aloehuang 创建的主题 › JavaScript › 关于词法作用域和闭包的一点疑问

你对比一下

let a = 0;
let addone = () => { let a = 10; addtwo(); }
let addtwo = () => console.log(a);
addone()

/*===*/

let a = 0;
let addone = () => { let a = 10; let addtwo = () => console.log(a); addtwo(); }
addone()

2020-04-27 11:46:17 +08:00

回复了 collo 创建的主题 › 程序员 › 求助下这是什么编码？

base64 的意义就是把所有字符映射到可见字符，比如我加密后为了方便传输把密文编码成 base64，你这个样本解码后 16 字节，大概率是某种分组密码加密后的数据，你问这个问题没有任何意义

2020-04-25 12:41:28 +08:00

回复了 whoami9894 创建的主题 › 程序员 › SQL 语句 where 子句连等

@tsparrot
'guest'='admin'='admin' => ('guest'='admin')='admin'
'guest'='admin' => 0
0='admin' => 1
所以查出所有 username != 'admin'的记录

2020-04-24 16:17:44 +08:00

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@fancy111
@moonlord
果然我就不该回复你们，你俩是一类人。先打牢基础吧，哪来的一股蜜汁自信

2020-04-24 16:15:09 +08:00

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@fancy111 他的意思是前端 JS 操纵数据时用 innerText，你这种情况是后端直接渲染 HTML，所以实际不能反驳他对于前端操纵数据的说法

@moonlord
使用 innerText 等做法都是在前后端分离，前端 JS 操纵数据的前提下，后端直接渲染 HTML 返回你直接避过不提？没什么好杠的

@neoblackcap
确实。我的意思的是总有一些复杂的业务场景，所以想寻求一劳永逸的解决方式是不太现实的

2020-04-24 16:09:21 +08:00

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@fancy111
虽然我很想挺你，但你这个例子确实不对
浏览器解析 HTML 时会先解析 HTML，然后才是 JS 。也就是说你这段代码里`content.innerText='</script><script>alert(11);</script>'`的第一个`</script>`在 HTML 解析阶段被当做 script 闭合标签了

所以这段代码被交给 JS 引擎解析时是这样的
<script>
var content = document.getElementById("test");
content.innerText='
</script>

<script>
alert(11);
</script>

2020-04-24 15:55:38 +08:00

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@moonlord
众人皆醉你独醒？

2020-04-24 15:51:54 +08:00

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

@whoami9894 #20
可以看看我这段回复 V 站是怎么过滤的，因为是标签外输出点，所以直接 HTMLencode 就完了

2020-04-24 15:49:13 +08:00

回复了 tctc4869 创建的主题 › JavaScript › 防止 xss 和 sql 注入而进行非法字符过滤， js 前端有什么几乎一劳永逸的方式？

XSS 的话，一般情况下对所有符号（`<>"&#`）进行 HTML encode 基本就没问题了，比如 PHP 的 htmlspecialchars 函数。
不过总有一些特殊场景，还是需要开发者有足够经验，比如标签内的输出点：`<a href="javascript:\u0061\u006c\u0065\u0072\u0074(1);">click</a>`

当然 CSP 也是好办法，但一样有不少绕过方式。国内外 SRC 上经常有大厂被挖出 XSS，想一劳永逸解决？不存在的

2020-04-20 22:11:33 +08:00

回复了 getaobj 创建的主题 › 程序员 › cURL 命令转代码在线工具

XHR 的 timeout 设置太短了吧：`Error: timeout of 1000ms exceeded `，我这里都体验不到正常功能了

2020-04-13 21:18:02 +08:00

回复了 whoami9894 创建的主题 › 分享发现 › 分享一个今天踩得 MySQL 编码坑

@Vegetable
确实。我原来一直以为输入法只有特殊字符会输入全角

2020-04-10 15:56:03 +08:00

回复了 revalue 创建的主题 › 程序员 › 面试遇到个怪像： JWT 没用到哈希算法，也没用到不可逆加密啊

@whoami9894 #38
笔误了
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + urlsafe_base64_enc(HMAC_SHA256(HEADER + DATA, SECRET_KEY))
当然这只是一个示例，实际上 JWT 是对 HEADER 和 DATA 分别编码，然后用"."连接三段 HEADER, DATA 和 SIGN

2020-04-10 15:50:06 +08:00

回复了 revalue 创建的主题 › 程序员 › 面试遇到个怪像： JWT 没用到哈希算法，也没用到不可逆加密啊

你可以这样理解 JWT：
jwt_payload = urlsafe_base64_enc(HEADER + DATA) + HMAC_SHA256(urlsafe_base64_enc(HEADER + DATA), SECRET_KEY)
HMAC 的意义是保证了不知道 SECRET_KEY 的情况下可以拿到 DATA 明文，但无法篡改
当然这是 HS 的情况，另一种 RS 则是通过 RSA 私钥签名，公钥验证

2020-04-09 13:47:50 +08:00

回复了 yech1990 创建的主题 › 程序员 › 吐槽一下 R 语言的“魔法”，顺便请教一下元编程在其他语言中的实现。

@yech1990 具体的记不太清了，能不能实现 substitute 存疑

这篇文章是用 Clojure 举例的： https://liujiacai.net/blog/2017/10/01/macro-in-action/#syntax-quote-amp-unquote，不同方言的实现也不太一样

2020-04-08 22:06:11 +08:00

回复了 yech1990 创建的主题 › 程序员 › 吐槽一下 R 语言的“魔法”，顺便请教一下元编程在其他语言中的实现。

感觉跟语言本身的求值方式有关，函数内可以判断参数是 symbol 还是 literal，而且我试了一下 substitute 能 resolve 到外部调用函数时的 symbol 名称
没写过 R 看不太懂，什么情况下需要 substitute 函数的功能？ Lisp 的话，syntax-quote 能做到吗？

2020-04-03 15:01:42 +08:00

回复了 monkeyWie 创建的主题 › 程序员 › 技术博客真就套娃啊

原来写的博客还有被机翻成英文抄的

2020-04-02 13:38:23 +08:00

回复了 yumiot 创建的主题 › 程序员 › 程序员一枚，拯救者 Y7000， Y7000P， Y9000x，某东有优惠，是现在入手，还是等拯救者新机，据说新机 5 月份出，如果入手，推荐型号和配置是什么？

Y9000X 五月新机已经确定是锐龙 4800H 了？？？

2020-04-02 11:49:52 +08:00

回复了 wangbenjun5 创建的主题 › 程序员 › 这就是我为什么从 PHP 转向 Go 的原因

直接怼回去啊，对面试官说：问这种问题，你的水平可想而知

2020-03-27 20:18:43 +08:00

回复了 kisshere 创建的主题 › 程序员 › 想从 Win10 迁移到 manjaro 作为主力，这么做有没有意义？

洗手.jpg

2020-03-27 20:09:54 +08:00

回复了 whoami9894 创建的主题 › 问与答 › 请教 V 友，暑期实习 offer 确认后不去会有负面影响吗

@fishCatcher
如果我就是冲着转正去的话，PCG 相比其他部门呢？还有我听说鹅厂内部转岗很方便，前辈了解吗？

1 2 3 4 5 6 7 8 9 10 ... 34

❮

❯