必威体育下载克里斯蒂安·海尔曼

您当前正在浏览XSS类别的存档。必威体育简介

“xss”类别的存档

让我们让2008年成为使用Ajax实现服务器端的一年。

星期日,12月30日,二千零七

我总是被大量的Ajax教程和示例所吸引,这些教程和示例完全忽略了Ajax应用程序的后端部分。很多时候,你会发现6-7行的javascript让客户机超文本传输协议请求,但是当谈到允许跨域请求所需的代理脚本时,很多人都将其掩盖为“你不需要知道这一点,只需使用这个脚本”。

如果提供的脚本没有那么糟糕的话,那就不是问题了。未初始化的URL是跨服务器脚本攻击的主要攻击点。如果你使用PHP_自我作为表单的行为,你不应该对服务器上的大量邮件流量或网站上的文本链接感到太困惑,因为你没有签字并获得金钱。

另一件令我吃惊的事情是,人们总是抱怨在客户端将数据从一种格式转换为另一种格式时的缓慢和问题。让我们不要自欺欺人:即使在所有文章之后,关于Ajax的书籍和播客我们仍然不知道访问者使用什么来查看我们的产品。我们无法确定使用了什么浏览器,如果涉及到辅助技术或有关运行浏览器的计算机规格的任何内容。对我来说,这使客户方成为进行大量计算和转换的最不可取的地方。

服务器端,另一方面,在你的控制之下,你知道它能做什么。复杂正则表达式,XSLT转换,所有这一切在后端上都要容易得多——而且您知道文本编码在引导时会起作用。Ajax应用程序的很多复杂性都是基于糟糕的体系结构和设计决策以及依赖客户端提供必要的功能。

所以如果你问我一个好的Ajax应用程序的客户机与服务器代码的比率是多少,我会说30%的客户机和70%的服务器。服务器上的70%应用于提供安全性,非javascript回退功能(yay可访问性)和将数据转换为小型,易于为客户消化块(思考HTML杰森)30%的客户端代码应该主要用于增强产品的可用性,并使访问者更容易实现他们的目标。

所以这是我2008年的计划:每当我谈论Ajax时,我都会尝试覆盖尽可能多的后端和前端。我会和其他专家合作,因为我自己创造了一些可怕的PHP在过去。我希望其他人也能效仿这个例子,因为Ajax是一个很好的机会,可以弥合前端和后端工程之间的鸿沟——我们必须互相沟通,才能创建一个好的应用程序。

wp超级缓存对我(和其他人)缓存得太远

星期四,11月8日,二千零七

刚把这个wordpress升级到新的wordpress之后,我想拥有完整的优点,并安装了wp缓存来保存我的文章的静态页面。但似乎新发布的wp超级缓存WordPress插件存在一些严重的漏洞。

第一个向我报告的是Chris Messina在Twitter上接下来是Stefanie Sullivan报道Tiffany Brown也有同样的问题.检查创建的文件夹,我发现Tiffany提到的两次注射尝试是相同的。缓存允许通过“i”或“s”参数以txt URL形式插入代码。

在我的例子中,我发现我的服务器有一半镜像到插件缓存文件夹中的supercache文件夹中。不好的。

我很高兴看到我的ETC文件夹和其他更有趣的部分在我停用插件之前还没有到达。现在我在扮演大师,看看还有没有注射。我的操作:取消激活并删除所有缓存插件及其缓存文件夹(最好通过作为文件传输协议是一个皮塔有这么多文件)。