[Web前端开发中input表单元素的交互...]的搜索结果

...丰富的插件，其中包含表单文件提交插件。 采用JQuery提交表单文件需要部署插件，并编写代码相应的代码。下面是一个基础的表单文件提交范例： <html><head><script src="jquery.min.js"></script><script src="jquery.form.js"></script></head><body><form id="form1" enctype="multipart/form-data" method="post"><input type="text" name="username"/><input type="file" name="file"/><input type="submit" value="submit"/></form><script>$(document).ready(function(){ $('form1').ajaxForm(function(data){ alert("上传结果：" + data); }); }); </script></body></html> 在这个范例中，我们包含了两个JavaScript文件：JQuery库和表单文件提交插件。这些文件必须存在于您的Web应用程序中。 接下来是表单本身。我们设定了一个带有两个字段的表单：一个文本框和一个文件选择框。这个表单采用基础的POST提交方法，同时也需要配置提交的文件类型为"multipart/form-data"。 最后，我们编写代码了一个JavaScript代码块来处理表单的提交。这个代码块采用了JQuery库的ajaxForm()方法来完成表单的非同步提交。一旦表单提交顺利完成，它将显示上传结果的弹出框。 这只是一个基础的范例，您可以通过调整相应的字段和URL等参数来满足您的具体需求。通过采用这种范例，您可以轻松地完成通过表单提交文件的功能。

...vaScript库，设计用于简化HTML文档遍历、事件处理、动画以及Ajax交互等功能的开发。它封装了JavaScript语言的核心功能，提供了一种更加简洁、易于理解且具有高度可读性的语法结构，使得开发者能够更高效地操作网页DOM元素、处理事件和执行异步请求。 DOM（Document Object Model）操作 , 在Web开发中，DOM是浏览器对HTML或XML文档的一种内部表示方式，允许开发者通过JavaScript等脚本语言动态地访问、修改和创建网页内容与结构。在本文提到的jQuery教程中，DOM操作是指使用jQuery提供的方法来选取、修改、添加或删除HTML元素，例如更改元素样式、内容，插入新的元素，或者隐藏显示已有元素等行为。 插件 , 在jQuery框架下，插件是一种扩展jQuery功能的独立模块。开发者可以基于jQuery核心库开发出特定用途的功能组件，这些组件可以在项目中直接引入并调用，以实现诸如表单验证、图片轮播、拖拽效果等各种复杂功能。教程中的插件章节介绍了如何正确安装和使用jQuery社区或其他开发者编写的第三方插件，帮助开发者增强网站的用户体验和交互性。

在.NET开发中，DataGridView控件作为数据展示和编辑的重要工具，其丰富的属性与功能为开发者提供了强大的灵活性。随着.NET框架的不断演进，特别是在.NET Core及.NET 5.0之后版本中，DataGridView的功能得到了进一步增强和完善。例如，对于大数据量处理场景，新增了虚拟模式以提升性能，允许仅加载当前视图中的行数据，有效降低了内存占用。 近期，微软在.NET社区发布了一系列关于DataGridView优化使用的最佳实践和技术指南，其中包括如何利用最新特性进行异步数据绑定、提升界面响应速度，以及如何结合其他现代UI组件（如Blazor）实现跨平台应用的数据表格交互设计。 另外，在实际项目开发中，为了满足多样化的用户需求，许多开发者开始探讨DataGridView与其他流行前端框架（如React或Angular）的集成方案，通过封装或自定义组件的方式实现在Web端也能享受到类似丰富功能的表格组件。 值得注意的是，随着无障碍技术的发展，针对DataGridView控件的可访问性改进也成为热点话题。遵循WCAG标准，开发者需要关注如何设置正确的行高、列宽、颜色对比度以及支持键盘导航等无障碍特性，确保所有用户都能高效便捷地使用DataGridView展现的数据信息。 总的来说，无论是在.NET原生环境下的深度挖掘，还是跨平台融合创新，亦或是紧跟前沿的无障碍设计，DataGridView控件都在持续进化，为开发者提供更多元、更高效的解决方案。而深入理解和掌握这些扩展特性和应用场景，将有助于我们构建出更具竞争力的应用程序。

...的性能表现吸引了众多开发者的眼球。这款插件不仅支持省市县三级联动地区选择，还提供了丰富的选项配置，如动态加载数据、自定义模板样式、多级联动过滤等功能，极大地丰富了移动端交互设计的可能性。 与此同时，随着Web Components和现代前端框架（如React、Vue等）的崛起，jQuery虽然在部分场景下仍然发挥着重要作用，但其在移动端开发领域的地位正面临挑战。许多开发者开始探索如何将传统的jQuery插件功能移植到这些新型框架中，以满足日益增长的高性能、组件化开发需求。例如，“Ant Design Mobile”等基于React/Vue的UI库已经实现了高度可定制化的地区选择组件，并且兼容多种设备及浏览器环境，进一步提升了移动端用户体验。 另外，对于地区数据管理，开发者不仅要关注如何高效导入并使用，还需注意遵循相关法律法规，如《个人信息保护法》对用户地理位置信息收集和使用的严格规范。因此，在利用类似tWCitySelector或MobileSelect这类插件进行开发时，确保数据来源合法、处理过程透明合规，成为了每一位负责任的Web开发者的重要考量。 综上所述，jQuery移动端地区插件作为提升用户体验的有效工具，依然具有广泛的应用价值。然而，在实际项目开发中，我们应结合当下前端技术发展趋势，灵活运用各类技术资源，以实现更加人性化、合法合规的移动端交互设计。

...，Vue.js 作为前端开发工具被用来结合ElementUI组件库进行状态管理和视图渲染。通过Vue的数据绑定和响应式系统，开发者能够轻松地同步Switch组件的状态变化到数据模型，并通过回调函数处理这些状态变化。 ElementUI , ElementUI 是一套基于Vue.js的开源 UI 组件库，它提供了一系列丰富、易用且美观的组件，帮助开发者快速搭建企业级应用界面。在文章中，ElementUI 的 Switch 组件被提及，它是 ElementUI 中的一个用于切换开关状态的UI元素，支持状态变化时触发change事件，并将新状态值传入回调函数。 Composition API（可复用逻辑封装） , Vue3 引入的一种新的API设计模式，相较于传统的Options API，提供了更灵活和强大的方式来组织和管理组件的状态与行为逻辑。在本文上下文中，虽然未直接提到Composition API，但可以理解为，在处理多个Switch组件状态变化等复杂场景时，Vue3的Composition API能更好地封装和复用状态管理逻辑，使代码结构更加清晰和模块化。 v-model , 在Vue.js中，v-model是双向数据绑定指令，用于在表单控件如Input、Select、Textarea以及本文中的ElementUI Switch组件上创建双向绑定。当使用v-model时，任何对组件值的改变都会自动反映到绑定的Vue实例数据属性上，反之亦然。在本文情境下，v-model被用来同步Switch组件的状态到相应的数据对象，使得组件状态的变化能实时反应到应用程序的数据层。

...ue应用的组件状态而设计。在大型单页应用中，多个组件间可能存在复杂的状态共享和交互需求，Vuex 提供了一个中心化的存储仓库（store），用于集中管理和控制应用的所有组件的状态。通过定义actions进行异步操作，mutations处理同步状态变更，以及getters获取状态，使得状态变化具有可预测性，易于调试，并且能够方便地实现状态在不同场景如页面刷新后的持久化。 localStorage , localStorage是浏览器提供的Web Storage API的一部分，允许Web应用程序在用户的浏览器本地存储数据，且数据不会随会话结束而消失，除非被明确删除或因浏览器缓存限制而被清理。在本文上下文中，localStorage用于持久化存储Vue应用中的当前步骤状态currentStep，确保用户在刷新页面后仍能回到上次操作所在的步骤。 Element UI , Element UI 是一套基于 Vue.js 的开源 UI 组件库，它提供了一系列丰富、高质量的 UI 元素，旨在帮助开发者快速搭建企业级桌面端前端项目。在本文中提到的分步表单组件便是 Element UI 中的一个功能组件，用于将复杂的表单拆分成多个步骤展示给用户，使表单填写过程更为清晰、流畅，同时配合Vue的状态管理机制，可以有效解决多步骤表单在页面刷新后的状态保持问题。

...步探索与实践 在网页开发的世界中，JavaScript扮演着至关重要的角色。它不仅赋予了网页动态交互的能力，也让我们能够通过监听各种用户行为来实现丰富的功能。今天呢，咱们换个新鲜有趣的路子，满载着好奇心和探索劲头，一块儿来把JavaScript监听鼠标事件的那点事儿摸个门儿清，搞它个明明白白哈！ 1. 鼠标事件概览 首先，我们要了解JavaScript中的主要鼠标事件类型。它们包括但不限于： - click：当鼠标单击元素时触发。 - dblclick：当鼠标双击元素时触发。 - mousedown：当鼠标按钮被按下时触发。 - mouseup：当鼠标按钮被释放（松开）时触发。 - mousemove：当鼠标指针在元素内部移动时连续触发。 - mouseenter 和 mouseleave：分别在鼠标进入和离开元素时触发。 - mouseover 和 mouseout：当鼠标进入或离开元素及其任何子元素时触发。 2. 监听鼠标事件的语法 在JavaScript中，我们通常通过DOM元素的addEventListener方法来监听这些鼠标事件。下面是一个基本的代码示例，演示如何为一个按钮添加点击事件监听器： javascript // 获取页面上的某个按钮元素 var myButton = document.getElementById('myButton'); // 为按钮添加click事件监听器 myButton.addEventListener('click', function(event) { // 当按钮被点击时，执行这个函数 console.log('Button clicked!'); // event对象包含了关于此事件的各种信息，例如点击的位置等 console.log('Clicked at: ' + event.clientX + ', ' + event.clientY); }); // 注意：如果你使用的是ES6箭头函数，可以简化为如下形式： myButton.addEventListener('click', (event) => { console.log('Button clicked using arrow function!'); }); 3. 处理多个鼠标事件 我们可以同时为同一个元素监听多种鼠标事件，每个事件对应不同的处理函数： javascript var myDiv = document.getElementById('myDiv'); // 单击事件 myDiv.addEventListener('click', function() { this.style.backgroundColor = 'red'; // 点击后背景变红 }); // 鼠标悬停事件 myDiv.addEventListener('mouseover', function() { this.textContent = 'Mouse is over!'; // 鼠标悬停时显示提示文字 }); // 鼠标离开事件 myDiv.addEventListener('mouseleave', function() { this.textContent = ''; // 鼠标离开后清除提示文字 }); 4. 移除事件监听器 有时我们需要动态移除已添加的事件监听器，这时可以使用removeEventListener方法： javascript var myInput = document.getElementById('myInput'); // 添加focus事件监听器 function handleFocus() { console.log('Input gained focus'); } myInput.addEventListener('focus', handleFocus); // 在某些条件满足时，移除该监听器 function disableFocusListener() { myInput.removeEventListener('focus', handleFocus); console.log('Focus listener has been removed.'); } // 假设某个操作后需要移除监听器，调用disableFocusListener函数即可 以上就是JavaScript监听鼠标事件的基本内容。通过实例代码的学习，相信你已经掌握了这一重要技能。但是千万记住啊，在实际操作里，根据项目的具体需求和用户体验的实际情况，我们可能需要对这些事件进行更深度、更精细的处理和优化，就像是给它们来一场全面升级的大改造一样。探索永无止境，希望你在JavaScript的道路上越走越远，享受编程带来的乐趣！

...S的指令机制与组件化开发之后，我们可以进一步探索现代前端框架对组件化理念的演进和应用。近年来，Angular这一家族的重要成员——Angular（v2及以上版本）延续并强化了组件化的思想，采用了更为先进和严谨的组件体系结构。 Angular引入了NgModule作为更大的组织单元，它不仅包含了指令、服务等组件化的元素，还实现了模块化的依赖管理和懒加载功能。同时，Angular组件的设计更加规范和强大，每个组件都有明确的输入属性（@Input）、输出事件（@Output）以及封装的数据和逻辑，使得组件间的通信和复用变得更加清晰和高效。 此外，Vue.js和React等其他主流前端框架也在组件化方面有着独特的实现和优化。例如，Vue通过.vue单文件组件及组合API的方式提供了一种直观且易于维护的组件模型；而React则凭借JSX语法和Hooks API构建出声明式、可复用的UI组件。 近期，Web Components标准逐渐成熟，各大框架也纷纷加强对原生Web Components的支持，这意味着无论选择何种框架进行开发，都可以享受到底层提供的标准化组件化能力。未来，随着前端技术的持续发展，组件化开发将更加成熟和完善，为开发者带来更高效的开发体验和更具扩展性的应用架构。

...式之后，我们发现近期Web开发领域对此类交互设计的研究和实践日益深入。尤其在响应式设计愈发重要的今天，如何通过原生JavaScript或其他前端框架优化这类交互体验，成为了众多开发者关注的焦点。 2023年5月，Google在其Material Design Web组件库中发布了全新的折叠菜单组件，不仅提供了流畅的过渡动画效果，还支持自定义样式以及多级子菜单的展开收起功能。这一更新为开发者在移动端及桌面端创建灵活且用户体验良好的导航结构提供了强有力的支持。 此外，一项关于“CSS动画性能优化”的研究也于最近出炉，来自Mozilla的前端工程师团队分析了使用max-height与height属性结合transition实现动画时的浏览器渲染机制，并提出了一种新的优化策略。该策略强调在处理未知高度元素时，采用requestAnimationFrame API配合CSS变量实时获取并设置元素高度，从而进一步减少延迟和卡顿现象，提升用户界面的响应速度。 与此同时，也有前端社区的技术文章深度解读了无插件方案背后的设计理念和技术挑战，提倡回归原生JavaScript以追求更高的性能和更佳的可维护性。作者通过实际案例详细剖析了如何运用现代CSS特性，如Flexbox或Grid布局，与JavaScript巧妙结合，实现诸如导航栏折叠菜单这样的复杂交互效果，兼顾移动设备和桌面端的兼容性与性能要求。 综上所述，在移动端导航栏折叠菜单的实现道路上，无论是从官方库的更新迭代、学术研究的深入解析还是社区实践经验的分享，都展现出丰富的前沿技术和设计理念，为开发者们提供了持续优化和改进的方向。

...式的定制后，我们发现前端开发者对于网页表格样式的灵活运用与设计美感愈发重视。近期，随着Web Components和现代CSS框架（如Tailwind CSS）的广泛应用，自定义复杂表格布局的需求也日益增长。 一篇来自Smashing Magazine的最新文章《利用现代CSS技术实现动态表格设计》中，作者详细介绍了如何结合CSS Grid、Flexbox以及新兴的CSS布局属性（如subgrid）来创建响应式且高度定制化的表格样式。文中不仅讨论了如何精准定位并修改表头边框，还涉及到了根据数据密度动态调整列宽、行高及单元格间距等高级技巧。 此外，针对无障碍设计和用户体验优化，MDN Web Docs的一篇技术解析指出，在去除表头边框的同时，应确保使用aria属性有效传达表格结构信息，保证屏幕阅读器用户能够正确理解表格内容。通过这种方式，开发者不仅能打造出美观的界面，还能兼顾不同用户的实际需求，实现真正的包容性设计。 综上所述，随着前端技术的持续演进，开发者不仅需要掌握基础的CSS样式定制，更要关注行业前沿趋势和技术手段，以便为用户提供更优雅、易用且功能丰富的表格交互体验。

...ap是一款流行的开源前端框架，用于快速构建响应式网站和网络应用。它提供了一系列预先设计好的CSS样式、JavaScript插件以及可自适应各种屏幕尺寸的组件，大大简化了网页布局、导航、按钮、表单以及其他常见UI元素的设计与开发工作。 jQuery , jQuery是一个轻量级、简洁且高效的JavaScript库，它极大地简化了JavaScript在HTML文档遍历、事件处理、动画效果以及Ajax交互等方面的操作。在本文语境中，Bootstrap的部分功能需要依赖jQuery才能正常运行，因此确保jQuery库被正确引入是解决问题的前提之一。 DOMContentLoaded事件 , DOMContentLoaded是浏览器提供的一个原生事件，当初始HTML文档（不包括样式表、图像等外部资源）完成加载和解析后触发。在JavaScript编程中，监听这个事件可以确保在执行脚本时DOM树已经准备就绪，从而避免因DOM元素未加载完毕而引发的问题，如滚动监听失效等。结合文章内容，在解决Bootstrap滚动监听无效的问题时，建议使用DOMContentLoaded事件来确保滚动监听事件绑定在DOM加载完成后执行。

...源 UI 框架，它为开发者提供了一系列丰富且易用的前端组件，用于快速构建企业级桌面和移动端 Web 应用程序。在本文中，Cascader 级联选择器就是 Element-UI 提供的一个组件，常用于多级菜单的选择与展示。 Cascader 级联选择器 , Cascader 级联选择器是 Element-UI 中的一种组件，允许用户通过逐级下拉的方式来选择多个层级的数据项。这种组件通常用于实现如地区选择、多级分类目录等场景，具有良好的交互性和数据组织能力。 数据源 , 在软件开发领域，数据源是指应用程序获取数据的来源，它可以是一个数据库、API 接口、文件或者任何其他形式的数据存储结构。在本文上下文中，数据源特指实现商品分类系统时，Cascader 级联选择器所需显示的所有分类节点信息，如果数据源存在问题（例如数据不完整或错误），将直接影响到自定义搜索功能的正常运作。

...互关联的数据流动使得开发者无需手动操作DOM来更新界面，极大地简化了前端开发流程，提高了开发效率。 观察者模式 , 观察者模式是一种设计模式，用于实现实体对象（即“主题”或“被观察者”）与依赖于它的多个对象（即“观察者”）之间的解耦。在AngularJS的数据绑定实现中，观察者模式扮演了关键角色。当模型数据发生变化时，“主题”（模型）会通知所有注册过的“观察者”（例如指令或服务），然后“观察者”们根据接收到的通知执行相应的操作，如更新视图元素。这样就实现了数据变动与视图更新的自动化处理。 ngModel指令 , ngModel是AngularJS中一个重要的内建指令，主要用于表单控件与应用程序数据模型之间的双向数据绑定。通过在HTML元素上添加ngModel指令，可以将表单输入控件（如input、select等）与JavaScript变量或对象属性建立联系。每当表单控件值发生变化时，ngModel指令会自动更新相关联的模型数据；而模型数据的变化也会立刻反映到对应的表单控件上，确保视图和模型始终保持一致。

...速构建响应式网站和 Web 应用程序。它提供了丰富的预定义 HTML 类、JavaScript 插件以及设计模板，使开发者能够便捷地创建出风格统一且功能完善的网页元素，如导航栏、下拉菜单、按钮、表单等。在本文的语境中，Bootstrap 5 版本被用来构建下拉菜单，并通过其预设类（如 .dropdown 和 .dropdown-menu）实现菜单的显示与隐藏。 CSS 样式的冲突 , CSS（层叠样式表）样式冲突是指在同一网页中，针对同一 HTML 元素应用了多条相互矛盾或抵消的 CSS 规则，导致浏览器无法确定究竟应采用哪一条规则来渲染该元素样式的现象。在文章中，由于开发者可能为 Bootstrap 的下拉菜单添加了特定的 CSS 定位属性（例如 position: fixed 或 overflow: hidden），这些额外的样式可能会与 Bootstrap 内置的下拉菜单行为产生冲突，进而导致下拉菜单无法正常收回。 浏览器兼容性问题 , 浏览器兼容性问题是前端开发过程中经常遇到的问题，指的是网页在不同浏览器上展示效果不一致或者某些功能无法正常使用的情况。由于各大浏览器厂商对 Web 标准的理解和实现存在差异，对于同一种 CSS 属性、JavaScript API 等的支持程度和方式可能存在不同，这可能导致基于某一浏览器编写的代码在其他浏览器上无法正确执行或渲染。在本文中，解决 Bootstrap 下拉菜单无法收回的问题时，考虑到了浏览器兼容性因素，并推荐使用 BrowserStack 这样的工具进行跨浏览器测试以确保页面在各种浏览器上的表现一致性。

...释 , 移动设备优先设计是一种网页设计策略，主要关注在小屏幕设备（如智能手机和平板电脑）上提供优化的用户体验。在这一设计哲学中，开发者首先从移动设备的角度出发，构建和优化界面，然后逐渐扩展到桌面和其他大屏幕设备。这种方法旨在解决移动设备的限制，如较小的屏幕尺寸、触摸输入而非键盘输入，以及可能的有限的处理能力，从而提供更好的用户体验。 名词 , 响应式设计。 解释 , 响应式设计是一种网页设计方法，其目标是使网站能够在不同设备和屏幕尺寸上自适应，提供一致且优化的用户体验。通过使用流体布局、媒体查询和灵活的图像大小等技术，响应式设计允许网页根据访问设备的特性（如分辨率、宽度和方向）调整其布局、内容呈现和交互方式。这样，无论用户是在智能手机、平板电脑还是台式机上访问网站，都能获得最佳的视觉效果和导航体验。 名词 , Bootstrap。 解释 , Bootstrap 是一个流行的开源前端框架，由 Twitter 团队于 2011 年发布。它提供了一套基于 CSS 和 JavaScript 的工具，帮助开发者快速构建响应式、移动优先的网页和应用程序。Bootstrap 包含了大量的预定义样式、模板和组件，如表单、按钮、导航栏、模态框等，这些元素都遵循了统一的设计语言，使得网站具有良好的视觉一致性。通过使用 Bootstrap，开发者可以节省时间，专注于核心功能的开发，而无需从头开始编写样式和布局代码。

...der header元素是一种具有引导和导航作用的辅助元素。通常，header元素可以包含一个区块的标题(如h1至h6，或者hgroup元素标签)，但也可以包含其他内容，例如数据表格、搜索表单或相关的logo图片。 我们可以使用该元素来写整个页面的标题部分： The most important heading on this page 同一个页面中，每一个内容区块都可以有自己的元素，例如： The most important heading on this page 在HTML5中，我们可以不使用div，而用更加语义化的footer来写： copyright sitemap contact to top 在同一个页面中可以使用多个元素，即可以用作页面整体的页脚，也可以作为一个内容区块的结尾，例如，我们可以将直接写在或是中： Section content appears here. Footer information for section. Article content appears here. Footer information for article. nav -- 作用 -- 导航栏 nav nav元素是一个可以用来作为页面导航的链接组；其中的导航元素链接到其他页面或当前页面的其他部分。并不是所有的链接组都要被放进元素；例如，在页脚中通常会有一组链接，包括服务条款、首页、版权声明等；这时使用元素是最恰当的，而不需要元素。 一直以来，我们都习惯用如下这种方式来定义导航条： Home About Blog 下面是W3C给出的一个代码示例： The Wiki Center Of Exampland Home Current Events ...more... Demos in Exampland Written by A. N. Other. Public demonstrations Demolitions ...more... Public demonstrations ...more... Demolitions ...more... ...more... Edit | Delete | Rename © copyright 1998 Exampland Emperor 关键自li，em，dl，ul,ol,footer,header,nav,aside,article section 版块 用于划分页面上的不同区域,或者划分文章里不同的节 header 页面头部或者版块(section)头部 footer 页面底部或者(section)底部 nav 导航 (包含链接 ... html5新特性-header,nav,footer,aside,article,section等各元素的详解 Html5新增了27个元素,废弃了16个元素,根据现有的标准规范,把HTML5的元素按优先级定义为结构性属性.级块性元素.行内语义性元素和交互性元素四大类. 下面是对各标签的详解,section.he ... h5中的结构元素header、nav、article、aside、section、footer介绍 结构元素不具有任何样式,只是使页面元素的的语义更加明确. header元素 header元素是一种具有引导和导航作用的的结构元素,该元素可以包含所有通常放在页面头部的内容.header元素通常用来放置 ... html5，html5教程 html5,html5教程 1.向后兼容 HTML5是这样被定义的:能向后兼容目前UA处理内容的方式.为了让语言更简单,一些老的元素和Attribute被舍弃.比如一些纯粹用于展现的元素(译注:即非语 ... 一步HTML5教程学会体系 HTML5是HTML最新的版本,万维网联盟. HTML5是下一代的HTML标准,HTML5是为了在移动设备上支持多媒体. 新特性: 绘画的canvas元素,用于媒介回放的video和audio元素,对 ... IT兄弟连 HTML5教程 了解HTML5的主流应用1 在很多人眼里,HTML5与互联网营销密切相关,但其实从开发者的角度而言,它是一种网页标准,定义了浏览器语言的编写规范.伴随HTML5标准尘埃落定,浏览器对HTML5特性的逐步支持,再加上国内对HTML ... 【转帖】39个让你受益的HTML5教程 39个让你受益的HTML5教程 闲话少说,本文作者为大家收集了网上学习HTML5的资源,期望它们可以帮助大家更好地学习HTML5. 好人啊! 不过,作者原来说的4 ... 【特别推荐】Web 开发人员必备的经典 HTML5 教程 对于我来说,Web 前端开发是最酷的职业之一,因为你可以用新的技术发挥,创造出一些惊人的东西.唯一的问题是,你需要跟上这个领域的发展脚步,因此,你必须不断的学习,不断的前进.本文将分享能够帮助您快速掌 ... HTML5教程之本地存储SessionStorage SessionStorage: 将数据保存在session对象中,所谓session是指用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间会话,也就是用户浏览这个网站所花费的时间就是sess ... 随机推荐 【转】MySQL索引背后的数据结构及算法原理 摘要 本文以MySQL数据库为研究对象,讨论与数据库索引相关的一些话题.特别需要说明的是,MySQL支持诸多存储引擎,而各种存储引擎对索引的支持也各不相同,因此MySQL数据库支持多种索引类型,如BT ... IIS7 / IIS7.5 URL 重写 HTTP 重定向到 HTTPS(转) 转自: http://www.cnblogs.com/yipu/p/3880518.html 1.购买SSL证书,参考:http://www.cnblogs.com/yipu/p/3722135. ... OpenGL的glViewPort窗口设置函数实现分屏 之前实现过全景图片查看(OpenGL的几何变换3之内观察全景图),那么我们需要进行分屏该如何实现呢?如下图: 没错就是以前提过的glViewPort函数,废话不多说了,我直接上代码: //从这里开始进 ... hdu 4764 Stone (巴什博弈，披着狼皮的羊，小样，以为换了身皮就不认识啦) 今天(2013/9/28)长春站,最后一场网络赛! 3~5分钟后有队伍率先发现伪装了的签到题(博弈) 思路: 与取石头的巴什博弈对比 题目要求第一个人取数字在[1,k]间的某数x,后手取x加[1,k] ... android报表图形引擎(AChartEngine)demo解析与源码 AchartEngine支持多种图表样式,本文介绍两种:线状表和柱状表. AchartEngine有两种启动的方式:一种是通过ChartFactory.getView()方式来直接获取到view ... CSS长度单位及区别 em ex px pt in 1. css相对长度单位 Ø em 元素的字体高度 Ø ex 字体x的高度 Ø px ... es6的箭头函数 1.使用语法 : 参数 => 函数语句; 分为以下几种形式 : (1) ()＝>语句 ( )＝> statement 这是一种简写方法省略了花括号和return 相当于 ()＝&g ... pdfplumber库解析pdf格式 参考地址:https://github.com/jsvine/pdfplumber 简单的pdf转换文本: import pdfplumber with pdfplumber.open(path) a ... KMP替代算法——字符串Hash 很久以前写的... 今天来谈谈一种用来替代KMP算法的奇葩算法--字符串Hash 例题:给你两个字符串p和s,求出p在s中出现的次数.(字符串长度小于等于1000000) 字符串的Hash 根据字面意 ... SSM_CRUD新手练习(5)测试mapper 上一篇我们使用逆向工程生成了所需要的bean.dao和对应的mapper.xml文件,并且修改好了我们需要的数据库查询方法. 现在我们来测试一下DAO层,在test包下新建一个MapperTest.j ... 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_35666639/article/details/118169985。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

... 背景 博主早年从事web安全相关的工作，近日得闲，简单梳理几个常见的web安全问题。 XSS 首先说下最常见的 XSS 漏洞，XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。 非持久型 XSS 非持久型 XSS 漏洞，也叫反射型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。 非持久型 XSS 举一个例子，比如你的 Web 页面中包含有以下代码： Select your language:<select><script>document.write(''+ '<option value=1>'+ location.href.substring(location.href.indexOf('default=') + 8)+ '</option>');document.write('<option value=2>English</option>');</script></select> 攻击者可以直接通过 URL 类似：https://xx.com/xx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。 非持久型 XSS 漏洞攻击有以下几点特征： 即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。 攻击者需要诱骗点击 反馈率低，所以较难发现和响应修复 盗取用户敏感保密信息 为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情： Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。 尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。 尽量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.creteElement() 等可执行字符串的方法。 如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。 前端渲染的时候对任何的字段都需要做 escape 转义编码。 escape 转义的目的是将一些构成 HTML 标签的元素转义，比如 <，>，空格 等，转义成 <，>， 等显示转义字符。有很多开源的工具可以协助我们做 escape 转义。 持久型 XSS 持久型 XSS 漏洞，也被称为存储型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如发帖留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。 主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，refferer，forms 等，而是来源于后端从数据库中读出来的数据。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。攻击成功需要同时满足以下几个条件： POST 请求提交表单后端没做转义直接入库。 后端从数据库中取出数据没做转义直接输出给前端。 前端拿到后端数据没做转义直接渲染成 DOM。 持久型 XSS 有以下几个特点： 持久性，植入在数据库中 危害面广，甚至可以让用户机器变成 DDoS 攻击的肉鸡。 盗取用户敏感私密信息 为了防止持久型 XSS 漏洞，需要前后端共同努力： 后端在入库前应该选择不相信任何前端数据，将所有的字段统一进行转义处理。 后端在输出给前端数据统一进行转义处理。 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据，任何字段都需要做转义处理。 基于字符集的 XSS 其实现在很多的浏览器以及各种开源的库都专门针对了 XSS 进行转义处理，尽量默认抵御绝大多数 XSS 攻击，但是还是有很多方式可以绕过转义规则，让人防不胜防。比如「基于字符集的 XSS 攻击」就是绕过这些转义处理的一种攻击方式，比如有些 Web 页面字符集不固定，用户输入非期望字符集的字符，有时会绕过转义过滤规则。 以基于 utf-7 的 XSS 为例 utf-7 是可以将所有的 unicode 通过 7bit 来表示的一种字符集 (但现在已经从 Unicode 规格中移除)。 这个字符集为了通过 7bit 来表示所有的文字, 除去数字和一部分的符号,其它的部分将都以 base64 编码为基础的方式呈现。 <script>alert("xss")</script>可以被解释为：+ADw-script+AD4-alert(+ACI-xss+ACI-)+ADw-/script+AD4- 可以形成「基于字符集的 XSS 攻击」的原因是由于浏览器在 meta 没有指定 charset 的时候有自动识别编码的机制，所以这类攻击通常就是发生在没有指定或者没来得及指定 meta 标签的 charset 的情况下。 所以我们有什么办法避免这种 XSS 呢？ 记住指定 XML 中不仅要指定字符集为 utf-8，而且标签要闭合 牛文推荐：http://drops.wooyun.org/papers/1327 （这个讲的很详细） 基于 Flash 的跨站 XSS 基于 Flash 的跨站 XSS 也是属于反射型 XSS 的一种，虽然现在开发 ActionScript 的产品线几乎没有了，但还是提一句吧，AS 脚本可以接受用户输入并操作 cookie，攻击者可以配合其他 XSS（持久型或者非持久型）方法将恶意 swf 文件嵌入页面中。主要是因为 AS 有时候需要和 JS 传参交互，攻击者会通过恶意的 XSS 注入篡改参数，窃取并操作cookie。 避免方法： 严格管理 cookie 的读写权限 对 Flash 能接受用户输入的参数进行过滤 escape 转义处理 未经验证的跳转 XSS 有一些场景是后端需要对一个传进来的待跳转的 URL 参数进行一个 302 跳转，可能其中会带有一些用户的敏感（cookie）信息。如果服务器端做302 跳转，跳转的地址来自用户的输入，攻击者可以输入一个恶意的跳转地址来执行脚本。 这时候需要通过以下方式来防止这类漏洞： 对待跳转的 URL 参数做白名单或者某种规则过滤 后端注意对敏感信息的保护, 比如 cookie 使用来源验证。 CSRF CSRF（Cross-Site Request Forgery），中文名称：跨站请求伪造攻击 那么 CSRF 到底能够干嘛呢？你可以这样简单的理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计，例如通过 QQ 等聊天软件发送的链接(有些还伪装成短域名，用户无法分辨)，攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。例如，当用户登录网络银行去查看其存款余额，在他没有退出时，就点击了一个 QQ 好友发来的链接，那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。 所以遇到 CSRF 攻击时，将对终端用户的数据和操作指令构成严重的威胁。当受攻击的终端用户具有管理员帐户的时候，CSRF 攻击将危及整个 Web 应用程序。 CSRF 原理 下图大概描述了 CSRF 攻击的原理，可以理解为有一个小偷在你配钥匙的地方得到了你家的钥匙，然后拿着要是去你家想偷什么偷什么。 csrf原理 完成 CSRF 攻击必须要有三个条件： 用户已经登录了站点 A，并在本地记录了 cookie 在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。 站点 A 没有做任何 CSRF 防御 你也许会问：「如果我不满足以上三个条件中的任意一个，就不会受到 CSRF 的攻击」。其实可以这么说的，但你不能保证以下情况不会发生： 你不能保证你登录了一个网站后，不再打开一个 tab 页面并访问另外的网站，特别现在浏览器都是支持多 tab 的。 你不能保证你关闭浏览器了后，你本地的 cookie 立刻过期，你上次的会话已经结束。 上图中所谓的攻击网站 B，可能是一个存在其他漏洞的可信任的经常被人访问的网站。 预防 CSRF CSRF 的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的 CSRF 防御也都在服务端进行。服务端的预防 CSRF 攻击的方式方法有多种，但思路上都是差不多的，主要从以下两个方面入手： 正确使用 GET，POST 请求和 cookie 在非 GET 请求中增加 token 一般而言，普通的 Web 应用都是以 GET、POST 请求为主，还有一种请求是 cookie 方式。我们一般都是按照如下规则设计应用的请求： GET 请求常用在查看，列举，展示等不需要改变资源属性的时候（数据库 query 查询的时候） POST 请求常用在 From 表单提交，改变一个资源的属性或者做其他一些事情的时候（数据库有 insert、update、delete 的时候） 当正确的使用了 GET 和 POST 请求之后，剩下的就是在非 GET 方式的请求中增加随机数，这个大概有三种方式来进行： 为每个用户生成一个唯一的 cookie token，所有表单都包含同一个伪随机值，这种方案最简单，因为攻击者不能获得第三方的 cookie(理论上)，所以表单中的数据也就构造失败，但是由于用户的 cookie 很容易由于网站的 XSS 漏洞而被盗取，所以这个方案必须要在没有 XSS 的情况下才安全。 每个 POST 请求使用验证码，这个方案算是比较完美的，但是需要用户多次输入验证码，用户体验比较差，所以不适合在业务中大量运用。 渲染表单的时候，为每一个表单包含一个 csrfToken，提交表单的时候，带上 csrfToken，然后在后端做 csrfToken 验证。 CSRF 的防御可以根据应用场景的不同自行选择。CSRF 的防御工作确实会在正常业务逻辑的基础上带来很多额外的开发量，但是这种工作量是值得的，毕竟用户隐私以及财产安全是产品最基础的根本。 SQL 注入 SQL 注入漏洞（SQL Injection）是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入，使攻击者成功的向服务器提交恶意的 SQL 查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。 很多 Web 开发者没有意识到 SQL 查询是可以被篡改的，从而把 SQL 查询当作可信任的命令。殊不知，SQL 查询是可以绕开访问控制，从而绕过身份验证和权限检查的。更有甚者，有可能通过 SQL 查询去运行主机系统级的命令。 SQL 注入原理 下面将通过一些真实的例子来详细讲解 SQL 注入的方式的原理。 考虑以下简单的管理员登录表单： <form action="/login" method="POST"><p>Username: <input type="text" name="username" /></p><p>Password: <input type="password" name="password" /></p><p><input type="submit" value="登陆" /></p></form> 后端的 SQL 语句可能是如下这样的： let querySQL = SELECT FROM userWHERE username='${username}'AND psw='${password}'; // 接下来就是执行 sql 语句… 目的就是来验证用户名和密码是不是正确，按理说乍一看上面的 SQL 语句也没什么毛病，确实是能够达到我们的目的，可是你只是站在用户会老老实实按照你的设计来输入的角度来看问题，如果有一个恶意攻击者输入的用户名是 zoumiaojiang’ OR 1 = 1 --，密码随意输入，就可以直接登入系统了。WFT! 冷静下来思考一下，我们之前预想的真实 SQL 语句是: SELECT FROM user WHERE username='zoumiaojiang' AND psw='mypassword' 可以恶意攻击者的奇怪用户名将你的 SQL 语句变成了如下形式： SELECT FROM user WHERE username='zoumiaojiang' OR 1 = 1 --' AND psw='xxxx' 在 SQL 中，-- 是注释后面的内容的意思，所以查询语句就变成了： SELECT FROM user WHERE username='zoumiaojiang' OR 1 = 1 这条 SQL 语句的查询条件永远为真，所以意思就是恶意攻击者不用我的密码，就可以登录进我的账号，然后可以在里面为所欲为，然而这还只是最简单的注入，牛逼的 SQL 注入高手甚至可以通过 SQL 查询去运行主机系统级的命令，将你主机里的内容一览无余，这里我也没有这个能力讲解的太深入，毕竟不是专业研究这类攻击的，但是通过以上的例子，已经了解了 SQL 注入的原理，我们基本已经能找到防御 SQL 注入的方案了。 如何预防 SQL 注入 防止 SQL 注入主要是不能允许用户输入的内容影响正常的 SQL 语句的逻辑，当用户的输入的信息将要用来拼接 SQL 语句的话，我们应该永远选择不相信，任何内容都必须进行转义过滤，当然做到这个还是不够的，下面列出防御 SQL 注入的几点注意事项： 严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害 后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。 对进入数据库的特殊字符（’，"，\，<，>，&，，; 等）进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。 所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。 mysql.query(SELECT FROM user WHERE username = ? AND psw = ?, [username, psw]); 在应用发布之前建议使用专业的 SQL 注入检测工具进行检测，以及时修补被发现的 SQL 注入漏洞。网上有很多这方面的开源工具，例如 sqlmap、SQLninja 等。 避免网站打印出 SQL 错误信息，比如类型错误、字段不匹配等，把代码里的 SQL 语句暴露出来，以防止攻击者利用这些错误信息进行 SQL 注入。 不要过于细化返回的错误信息，如果目的是方便调试，就去使用后端日志，不要在接口上过多的暴露出错信息，毕竟真正的用户不关心太多的技术细节，只要话术合理就行。 碰到要操作的数据库的代码，一定要慎重，小心使得万年船，多找几个人多来几次 code review，将问题都暴露出来，而且要善于利用工具，操作数据库相关的代码属于机密，没事不要去各种论坛晒自家站点的 SQL 语句，万一被人盯上了呢？ 命令行注入 命令行注入漏洞，指的是攻击者能够通过 HTTP 请求直接侵入主机，执行攻击者预设的 shell 命令，听起来好像匪夷所思，这往往是 Web 开发者最容易忽视但是却是最危险的一个漏洞之一，看一个实例： 假如现在需要实现一个需求：用户提交一些内容到服务器，然后在服务器执行一些系统命令去产出一个结果返回给用户，接口的部分实现如下： // 以 Node.js 为例，假如在接口中需要从 github 下载用户指定的 repoconst exec = require('mz/child_process').exec;let params = {/ 用户输入的参数 /};exec(git clone ${params.repo} /some/path); 这段代码确实能够满足业务需求，正常的用户也确实能从指定的 git repo 上下载到想要的代码，可是和 SQL 注入一样，这段代码在恶意攻击者眼中，简直就是香饽饽。 如果 params.repo 传入的是 https://github.com/zoumiaojiang/zoumiaojiang.github.io.git 当然没问题了。 可是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf / && 恰好你的服务是用 root 权限起的就惨了。 具体恶意攻击者能用命令行注入干什么也像 SQL 注入一样，手法是千变万化的，比如「反弹 shell 注入」等，但原理都是一样的，我们绝对有能力防止命令行注入发生。防止命令行注入需要做到以下几件事情： 后端对前端提交内容需要完全选择不相信，并且对其进行规则限制（比如正则表达式）。 在调用系统命令前对所有传入参数进行命令行参数转义过滤。 不要直接拼接命令语句，借助一些工具做拼接、转义预处理，例如 Node.js 的 shell-escape npm 包。 还是前面的例子，我们可以做到如下： const exec = require('mz/child_process').exec;// 借助 shell-escape npm 包解决参数转义过滤问题const shellescape = require('shell-escape');let params = {/ 用户输入的参数 /};// 先过滤一下参数，让参数符合预期if (!/正确的表达式/.test(params.repo)) {return;}let cmd = shellescape(['git','clone',params.repo,'/some/path']);// cmd 的值: git clone 'https://github.com/xx/xx.git && rm -rf / &&' /some/path// 这样就不会被注入成功了。exec(cmd); DDoS 攻击 DDoS 又叫分布式拒绝服务，全称 Distributed Denial of Service，其原理就是利用大量的请求造成资源过载，导致服务不可用，这个攻击应该不能算是安全问题，这应该算是一个另类的存在，因为这种攻击根本就是耍流氓的存在，「伤敌一千，自损八百」的行为。出于保护 Web App 不受攻击的攻防角度，还是介绍一下 DDoS 攻击吧，毕竟也是挺常见的。 DDoS 攻击可以理解为：「你开了一家店，隔壁家点看不惯，就雇了一大堆黑社会人员进你店里干坐着，也不消费，其他客人也进不来，导致你营业惨淡」。为啥说 DDoS 是个「伤敌一千，自损八百」的行为呢？毕竟隔壁店还是花了不少钱雇黑社会但是啥也没得到不是？DDoS 攻击的目的基本上就以下几个： 深仇大恨，就是要干死你 敲诈你，不给钱就干你 忽悠你，不买我防火墙服务就会有“人”继续干你 也许你的站点遭受过 DDoS 攻击，具体什么原因怎么解读见仁见智。DDos 攻击从层次上可分为网络层攻击与应用层攻击，从攻击手法上可分为快型流量攻击与慢型流量攻击，但其原理都是造成资源过载，导致服务不可用。 网络层 DDoS 网络层 DDos 攻击包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 等。 SYN Flood 攻击 SYN flood 攻击主要利用了 TCP 三次握手过程中的 Bug，我们都知道 TCP 三次握手过程是要建立连接的双方发送 SYN，SYN + ACK，ACK 数据包，而当攻击方随意构造源 IP 去发送 SYN 包时，服务器返回的 SYN + ACK 就不能得到应答（因为 IP 是随意构造的），此时服务器就会尝试重新发送，并且会有至少 30s 的等待时间，导致资源饱和服务不可用，此攻击属于慢型 DDoS 攻击。 ACK Flood 攻击 ACK Flood 攻击是在 TCP 连接建立之后，所有的数据传输 TCP 报文都是带有 ACK 标志位的，主机在接收到一个带有 ACK 标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应 RST 包告诉对方此端口不存在。 UDP Flood 攻击 UDP flood 攻击是由于 UDP 是一种无连接的协议，因此攻击者可以伪造大量的源 IP 地址去发送 UDP 包，此种攻击属于大流量攻击。正常应用情况下，UDP 包双向流量会基本相等，因此发起这种攻击的攻击者在消耗对方资源的时候也在消耗自己的资源。 ICMP Flood 攻击 ICMP Flood 攻击属于大流量攻击，其原理就是不断发送不正常的 ICMP 包（所谓不正常就是 ICMP 包内容很大），导致目标带宽被占用，但其本身资源也会被消耗。目前很多服务器都是禁 ping 的（在防火墙在可以屏蔽 ICMP 包），因此这种攻击方式已经落伍。 网络层 DDoS 防御 网络层的 DDoS 攻击究其本质其实是无法防御的，我们能做得就是不断优化服务本身部署的网络架构，以及提升网络带宽。当然，还是做好以下几件事也是有助于缓解网络层 DDoS 攻击的冲击： 网络架构上做好优化，采用负载均衡分流。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 添加抗 DDos 设备，进行流量清洗。 限制同时打开的 SYN 半连接数目，缩短 SYN 半连接的 Timeout 时间。 限制单 IP 请求频率。 防火墙等防护设置禁止 ICMP 包等。 严格限制对外开放的服务器的向外访问。 运行端口映射程序或端口扫描程序，要认真检查特权端口和非特权端口。 关闭不必要的服务。 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。 加钱堆机器。。 报警。。 应用层 DDoS 应用层 DDoS 攻击不是发生在网络层，是发生在 TCP 建立握手成功之后，应用程序处理请求的时候，现在很多常见的 DDoS 攻击都是应用层攻击。应用层攻击千变万化，目的就是在网络应用层耗尽你的带宽，下面列出集中典型的攻击类型。 CC 攻击 当时绿盟为了防御 DDoS 攻击研发了一款叫做 Collapasar 的产品，能够有效的防御 SYN Flood 攻击。黑客为了挑衅，研发了一款 Challenge Collapasar 攻击工具（简称 CC）。 CC 攻击的原理，就是针对消耗资源比较大的页面不断发起不正常的请求，导致资源耗尽。因此在发送 CC 攻击前，我们需要寻找加载比较慢，消耗资源比较多的网页，比如需要查询数据库的页面、读写硬盘文件的等。通过 CC 攻击，使用爬虫对某些加载需要消耗大量资源的页面发起 HTTP 请求。 DNS Flood DNS Flood 攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成 DNS 服务器解析域名超时。 根据微软的统计数据，一台 DNS 服务器所能承受的动态域名查询的上限是每秒钟 9000 个请求。而我们知道，在一台 P3 的 PC 机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的 DNS 服务器瘫痪，由此可见 DNS 服务器的脆弱性。 HTTP 慢速连接攻击 针对 HTTP 协议，先建立起 HTTP 连接，设置一个较大的 Conetnt-Length，每次只发送很少的字节，让服务器一直以为 HTTP 头部没有传输完成，这样连接一多就很快会出现连接耗尽。 应用层 DDoS 防御 判断 User-Agent 字段（不可靠，因为可以随意构造） 针对 IP + cookie，限制访问频率（由于 cookie 可以更改，IP 可以使用代理，或者肉鸡，也不可靠) 关闭服务器最大连接数等，合理配置中间件，缓解 DDoS 攻击。 请求中添加验证码，比如请求中有数据库操作的时候。 编写代码时，尽量实现优化，并合理使用缓存技术，减少数据库的读取操作。 加钱堆机器。。 报警。。 应用层的防御有时比网络层的更难，因为导致应用层被 DDoS 攻击的因素非常多，有时往往是因为程序员的失误，导致某个页面加载需要消耗大量资源，有时是因为中间件配置不当等等。而应用层 DDoS 防御的核心就是区分人与机器（爬虫），因为大量的请求不可能是人为的，肯定是机器构造的。因此如果能有效的区分人与爬虫行为，则可以很好地防御此攻击。 其他 DDoS 攻击 发起 DDoS 也是需要大量的带宽资源的，但是互联网就像森林，林子大了什么鸟都有，DDoS 攻击者也能找到其他的方式发起廉价并且极具杀伤力的 DDoS 攻击。 利用 XSS 举个例子，如果 12306 页面有一个 XSS 持久型漏洞被恶意攻击者发现，只需在春节抢票期间在这个漏洞中执行脚本使得往某一个小站点随便发点什么请求，然后随着用户访问的增多，感染用户增多，被攻击的站点自然就会迅速瘫痪了。这种 DDoS 简直就是无本万利，不用惊讶，现在大站有 XSS 漏洞的不要太多。 来自 P2P 网络攻击 大家都知道，互联网上的 P2P 用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据，成千上万的真实 IP 地址连接过来，没有哪个设备能够支撑住。拿 BT 下载来说，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但是这只是基础攻击。 高级的 P2P 攻击，是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器，然后推送给其它需要下载相同资源的用户，这样，一个链接就发布出去。通过协议逆向，攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去，瞬间就可以传遍整个 P2P 网络。更为恐怖的是，这种攻击是无法停止的，即使是攻击者自身也无法停止，攻击一直持续到 P2P 官方发现问题更新服务器且下载用户重启下载软件为止。 最后总结下，DDoS 不可能防的住，就好比你的店只能容纳 50 人，黑社会有 100 人，你就换一家大店，能容纳 500 人，然后黑社会又找来了 1000 人，这种堆人头的做法就是 DDoS 本质上的攻防之道，「道高一尺，魔高一丈，魔高一尺，道高一丈」，讲真，必要的时候就答应勒索你的人的条件吧，实在不行就报警吧。 流量劫持 流量劫持应该算是黑产行业的一大经济支柱了吧？简直是让人恶心到吐，不吐槽了，还是继续谈干货吧，流量劫持基本分两种：DNS 劫持 和 HTTP 劫持，目的都是一样的，就是当用户访问 zoumiaojiang.com 的时候，给你展示的并不是或者不完全是 zoumiaojiang.com 提供的 “内容”。 DNS 劫持 DNS 劫持，也叫做域名劫持，可以这么理解，「你打了一辆车想去商场吃饭，结果你打的车是小作坊派来的，直接给你拉到小作坊去了」，DNS 的作用是把网络地址域名对应到真实的计算机能够识别的 IP 地址，以便计算机能够进一步通信，传递网址和内容等。如果当用户通过某一个域名访问一个站点的时候，被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP，用户就被劫持到了恶意钓鱼站点，然后继而会被钓鱼输入各种账号密码信息，泄漏隐私。 dns劫持 这类劫持，要不就是网络运营商搞的鬼，一般小的网络运营商与黑产勾结会劫持 DNS，要不就是电脑中毒，被恶意篡改了路由器的 DNS 配置，基本上做为开发者或站长却是很难察觉的，除非有用户反馈，现在升级版的 DNS 劫持还可以对特定用户、特定区域等使用了用户画像进行筛选用户劫持的办法，另外这类广告显示更加随机更小，一般站长除非用户投诉否则很难觉察到，就算觉察到了取证举报更难。无论如何，如果接到有 DNS 劫持的反馈，一定要做好以下几件事： 取证很重要，时间、地点、IP、拨号账户、截屏、URL 地址等一定要有。 可以跟劫持区域的电信运营商进行投诉反馈。 如果投诉反馈无效，直接去工信部投诉，一般来说会加白你的域名。 HTTP 劫持 HTTP 劫持您可以这么理解，「你打了一辆车想去商场吃饭，结果司机跟你一路给你递小作坊的广告」，HTTP 劫持主要是当用户访问某个站点的时候会经过运营商网络，而不法运营商和黑产勾结能够截获 HTTP 请求返回内容，并且能够篡改内容，然后再返回给用户，从而实现劫持页面，轻则插入小广告，重则直接篡改成钓鱼网站页面骗用户隐私。能够实施流量劫持的根本原因，是 HTTP 协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题，则流量劫持将无法轻易发生。所以防止 HTTP 劫持的方法只有将内容加密，让劫持者无法破解篡改，这样就可以防止 HTTP 劫持了。 HTTPS 协议就是一种基于 SSL 协议的安全加密网络应用层协议，可以很好的防止 HTTP 劫持。这里有篇 文章 讲的不错。HTTPS 在这就不深讲了，后面有机会我会单独好好讲讲 HTTPS。如果不想站点被 HTTP 劫持，赶紧将你的站点全站改造成 HTTPS 吧。 服务器漏洞 服务器除了以上提到的那些大名鼎鼎的漏洞和臭名昭著的攻击以外，其实还有很多其他的漏洞，往往也很容易被忽视，在这个小节也稍微介绍几种。 越权操作漏洞 如果你的系统是有登录控制的，那就要格外小心了，因为很有可能你的系统越权操作漏洞，越权操作漏洞可以简单的总结为 「A 用户能看到或者操作 B 用户的隐私内容」，如果你的系统中还有权限控制就更加需要小心了。所以每一个请求都需要做 userid 的判断 以下是一段有漏洞的后端示意代码： // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;mysql.query('SELECT FROM msg_table WHERE msg_id = ?',[msgId]); 以上代码是任何人都可以查询到任何用户的消息，只要有 msg_id 就可以，这就是比较典型的越权漏洞，需要如下这么改进一下： // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;let userId = ctx.session.userId; // 从会话中取出当前登陆的 userIdmysql.query('SELECT FROM msg_table WHERE msg_id = ? AND user_id = ?',[msgId, userId]); 嗯，大概就是这个意思，如果有更严格的权限控制，那在每个请求中凡是涉及到数据库的操作都需要先进行严格的验证，并且在设计数据库表的时候需要考虑进 userId 的账号关联以及权限关联。 目录遍历漏洞 目录遍历漏洞指通过在 URL 或参数中构造 …/，./ 和类似的跨父目录字符串的 ASCII 编码、unicode 编码等，完成目录跳转，读取操作系统各个目录下的敏感文件，也可以称作「任意文件读取漏洞」。 目录遍历漏洞原理：程序没有充分过滤用户输入的 …/ 之类的目录跳转符，导致用户可以通过提交目录跳转来遍历服务器上的任意文件。使用多个… 符号，不断向上跳转，最终停留在根 /，通过绝对路径去读取任意文件。 目录遍历漏洞几个示例和测试，一般构造 URL 然后使用浏览器直接访问，或者使用 Web 漏洞扫描工具检测，当然也可以自写程序测试。 http://somehost.com/../../../../../../../../../etc/passwdhttp://somehost.com/some/path?file=../../Windows/system.ini 借助 %00 空字符截断是一个比较经典的攻击手法http://somehost.com/some/path?file=../../Windows/system.ini%00.js 使用了 IIS 的脚本目录来移动目录并执行指令http://somehost.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ 防御 方法就是需要对 URL 或者参数进行 …/，./ 等字符的转义过滤。 物理路径泄漏 物理路径泄露属于低风险等级缺陷，它的危害一般被描述为「攻击者可以利用此漏洞得到信息，来对系统进一步地攻击」，通常都是系统报错 500 的错误信息直接返回到页面可见导致的漏洞。得到物理路径有些时候它能给攻击者带来一些有用的信息，比如说：可以大致了解系统的文件目录结构；可以看出系统所使用的第三方软件；也说不定会得到一个合法的用户名（因为很多人把自己的用户名作为网站的目录名）。 防止这种泄漏的方法就是做好后端程序的出错处理，定制特殊的 500 报错页面。 源码暴露漏洞 和物理路径泄露类似，就是攻击者可以通过请求直接获取到你站点的后端源代码，然后就可以对系统进一步研究攻击。那么导致源代码暴露的原因是什么呢？基本上就是发生在服务器配置上了，服务器可以设置哪些路径的文件才可以被直接访问的，这里给一个 koa 服务起的例子，正常的 koa 服务器可以通过 koa-static 中间件去指定静态资源的目录，好让静态资源可以通过路径的路由访问。比如你的系统源代码目录是这样的： |- project|- src|- static|- ...|- server.js 你想要将 static 的文件夹配成静态资源目录，你应该会在 server.js 做如下配置： const Koa = require('koa');const serve = require('koa-static');const app = new Koa();app.use(serve(__dirname + '/project/static')); 但是如果配错了静态资源的目录，可能就出大事了，比如： // ...app.use(serve(__dirname + '/project')); 这样所有的源代码都可以通过路由访问到了，所有的服务器都提供了静态资源机制，所以在通过服务器配置静态资源目录和路径的时候，一定要注意检验，不然很可能产生漏洞。 最后，希望 Web 开发者们能够管理好自己的代码隐私，注意代码安全问题，比如不要将产品的含有敏感信息的代码放到第三方外部站点或者暴露给外部用户，尤其是前端代码，私钥类似的保密性的东西不要直接输出在代码里或者页面中。也许还有很多值得注意的点，但是归根结底还是绷住安全那根弦，对待每一行代码都要多多推敲。 请关注我的订阅号 本篇文章为转载内容。原文链接：https://blog.csdn.net/MrCoderStack/article/details/88547919。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...e是一款专为提升网页表单交互体验而设计的轻量级jQuery插件，它专注于实现输入框浮动标签这一动画特效。在实际应用中，开发者可以便捷地将该插件集成到项目中，以增强表单元素的功能性和视觉吸引力。当用户点击或聚焦于输入框时，phAnimate会自动将原先作为占位符的标签文字以流畅的动画效果浮动至输入框上方，从而既节省空间又清晰指示当前输入内容的含义。这一设计不仅紧跟现代网页设计潮流，而且有助于提高用户的填写效率和整体使用体验。通过简单引入jQuery库及phAnimate插件文件，并调用相应的API方法，即可快速实现这一功能，让复杂的表单布局变得生动而易用。 点我下载 文件大小：38.29 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...aScriptDOM元素放大缩小特效插件。它专为前端开发者设计，无需依赖jQuery或其他外部库，仅凭纯JavaScript技术实现图片和其他HTML元素的动态放大和缩小功能。此插件的强大之处在于其灵活性，用户只需在目标元素上添加特定的类，如"zoomable"或"zoomerang-target"，即可激活其交互性。当用户点击这样的元素时，Zoomerang.js会让元素以中心对齐的方式放大，提供清晰的细节查看体验。放大后的视图可以在用户交互下保持聚焦，直到再次点击，这时元素会恢复到原始大小和位置，操作流畅自然。这种功能特别适合在产品展示、地图导航或者需要高精度查看的网页场景中使用，提升了用户体验和信息的可访问性。由于其简洁的实现方式，它对于性能影响较小，非常适合对性能有较高要求的现代Web应用。 点我下载 文件大小：22.78 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...择工具，专为提升网页表单交互体验而设计，特别优化兼容至IE8浏览器。该插件不仅支持常见的日期范围选择，如用户在日历控件中选取开始和结束日期，还提供了星期范围、月份范围以及整数范围等多种数据类型的灵活选择功能。开发者可以根据实际应用场景，配置该插件以实现单向或双向的选择模式，满足不同业务需求。例如，在预订酒店或者机票场景下，用户可以选择入住和离店的日期范围；而在设置周期性任务时，则可以选定一周中的特定日期范围或者指定月份内的某段时间。凭借其丰富的定制选项和高度的灵活性，jQuery多类型范围选择器插件极大地简化了开发流程，提升了Web应用的数据录入效率与用户友好度，是前端开发者构建复杂筛选条件的理想选择之一。 点我下载 文件大小：55.75 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...致力于提升用户界面的交互体验。它专门用于将网页中的原始radio按钮和checkbox控件转换为视觉效果更佳、操作更为直观的滑动开关按钮。通过集成这款插件，开发者能够轻松实现对表单元素样式的高级定制，无需繁琐的手动CSS或JavaScript编写。该插件设计灵活且功能丰富，预设了四种不同的主题风格，包括light（明亮）、dark（暗黑）、flat（扁平）以及modern（现代），只需在调用时简单配置参数，即可快速切换至所需的样式主题，让滑动开关与整体页面设计完美融合。使用"rcSwitcher"不仅增强了网站的视觉吸引力，还优化了移动端和平板设备上的触控交互，使得用户在操作选择项时更加便捷流畅。无论是进行设置项的选择、状态的切换或是表单数据的填写，都能带给用户新颖而友好的互动感受，提升了网站的专业性和用户体验。 点我下载 文件大小：49.23 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

...片原本的颜色和细节。开发者可以通过简单配置jQuery.eraser的参数来自定义擦除笔触的大小、形状以及擦除过程中的动画过渡效果。在实际应用场景中，这一特性常被用于创建游戏化的用户体验，例如线上抽奖活动的刮刮卡效果，或者教育类网站中让用户亲手擦除部分内容以揭示答案等交互设计。总之，jQuery.eraser为前端开发者提供了一种便捷而高效的方式来实现动态擦除图片内容的功能，极大地增强了网页内容的趣味性和互动性。只需调用相应方法并设置好回调函数，即可轻松将静态的图像转变为引人入胜的擦除交互体验。 点我下载 文件大小：284.39 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。