kabulu | 杂食堆

面对现实,忠于理想


  • 首页

  • 标签

  • 分类

  • 归档

CSRF 与 XSS 的那些事

发表于 2017年 11月 10日 | 分类于 web安全

Web 安全

CSRF(Cross-site request forgery[伪造]):

全称为跨站请求伪造,一句话概述该攻击手法:盗用用户的身份认证信息在用户当前已登录的Web应用程序上执行非用户本意的操作

具体操作原理:

用户登录之后,服务器会将用户身份认证信息(用户Session)保存在用户浏览器的cookie中。如果当前用户没有登出,而恰巧又在Session过期之前受到诱惑后访问了一个潜伏着CSRF攻击的网站,该网站便会盗用用户当前浏览器的cookie来模拟用户想服务器发送请求,执行预谋的操作。

CSRF基于曹操 挟天子以令诸侯 的手段上做了 创新:挟天子以骗诸侯。

这样的盗用能够生效,有两个前提条件

1.用户没有登出当前网站,并且当前用户Session未过期。
2.用户受到的诱惑,真实打开了攻击网站

上面说这么多还是太模糊了,直接上场景:

场景还原

阅读全文 »

关于hexo无法上传到github 的解决办法

发表于 2017年 11月 7日 | 分类于 hexo

现象描述:

hexo d 后 提示github配置出现了问题。

$ hexo d
INFO Deploying: git
INFO Clearing .deploy folder...
...
...
...
...
bash: /dev/tty: No such device or address
error: failed to execute prompt script (exit code 1)
fatal: could not read Username for 'https://github.com': No error
FATAL Something's wrong. Maybe you can find the solution here: http://hexo.io/docs/troubleshooting.html
Error: bash: /dev/tty: No such device or address
error: failed to execute prompt script (exit code 1)
fatal: could not read Username for 'https://github.com': No error

解决方案

将_config.yml中的repository:https://github.com/abc/abc.github.io.git这个地址改为git@github.com:abc/abc.github.io.git 即可

Markdown 语法 汇总 (马克飞象)

发表于 2017年 11月 7日 | 分类于 Markdown

马克飞象是一款专为印象笔记(Evernote)打造的Markdown编辑器,通过精心的设计与技术实现,配合印象笔记强大的存储和同步功能,带来前所未有的书写体验。特点概述:

  • 功能丰富 :支持高亮代码块、LaTeX 公式、流程图,本地图片以及附件上传,甚至截图粘贴,工作学习好帮手;
  • 得心应手 :简洁高效的编辑器,提供桌面客户端以及离线Chrome App,支持移动端 Web;
  • 深度整合 :支持选择笔记本和添加标签,支持从印象笔记跳转编辑,轻松管理。

[TOC]

Markdown简介

Markdown 是一种轻量级标记语言,它允许人们使用易读易写的纯文本格式编写文档,然后转换成格式丰富的HTML页面。 —— 维基百科

正如您在阅读的这份文档,它使用简单的符号标识不同的标题,将某些文字标记为粗体或者斜体,创建一个链接或一个脚注[^demo]。下面列举了几个高级功能,更多语法请按Ctrl + /查看帮助。

代码块

<div></div>

LaTeX 公式

阅读全文 »

redux 深入理解

发表于 2017年 11月 7日 | 分类于 redux

应用场景: 为什么要用redux?

直接从需求入手开始

需求 1.0:在控制台上记录用户的每个动作

如果后端开发的话,一般会设计一个统计用户记录日志的中间件middleware
例如,在Express 中实现一个加单的logger,如下:

var loggerMiddleware = function(req, res, next) {
console.log('[Logger]', req.method, req.originalUrl)
next()
}
...
app.use(loggerMiddleware)
阅读全文 »

hexo-next 熟悉攻略

发表于 2017年 11月 4日 | 分类于 hexo

文本居中引用

不如意事常八九,可与言者无二三

有如下3种方式,都可以达成上面的效果

<blockquote class="blockquote-center">不如意事常八九,可与言者无二三 </blockquote>
{% centerquote %}blah blah blah{% endcenterquote %}
{% cq %} blah blah blah {% endcq %}

Bootstrap Callout

效果如下

blah blah blah

其中name为以下的值都可以

  • default
  • primary
  • success
  • info
  • warning

加索引链接

Every interaction is both precious and an opportunity to delight.

Seth GodinWelcome to Island Marketing

插入代码块

在文章中插入代码

{% codeblock [title] [lang:language] [url] [link text] %}
code snippet
{% endcodeblock %}
var box = 1;
alert("haha");

引入文章和资源

{% post_path slug %}
{% post_link slug [title] %}
{% asset_path slug %}
{% asset_img slug [title] %}
{% asset_link slug [title] %}

文章

资源

hexo 部署的几个大坑

发表于 2017年 11月 3日 | 分类于 hexo

填坑填坑,简直是累的要死

部署到github上命名问题

  • github的repo命名一定要以你的github的用户名.github.io创建。如果是其他的名字都会404报错
  • 其实并不是没有部署成功,而是实际路径会很麻烦。

中心极限定理

如果一个事物受到多种因素的影响,不管每个因素本身是什么分布,它们加总后,结果的平均值就是正态分布(normal distribution)。
ps:这些因素不能使互相叠加的。必须是相互独立,互不干扰。

财富的分配就是因为各个因素具有相互叠加作用。会互相加强影响。一般呈现对数正太分布(log normal distribution)

Hello World

发表于 2017年 11月 3日 | 分类于 hexo

Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.

Quick Start

Create a new post

$ hexo new "My New Post"

More info: Writing

Run server

$ hexo server

More info: Server

Generate static files

$ hexo generate

More info: Generating

Deploy to remote sites

$ hexo deploy

More info: Deployment

12
卡布鲁司机

卡布鲁司机

写写心得,发发牢骚,爬爬天坑,孤单的编程之路上留点念。

17 日志
7 分类
21 标签
GitHub
Links
  • github
© 2017 卡布鲁司机
由 Hexo 强力驱动
|
主题 — NexT.Mist v5.1.3
0%