blog

blog copied to clipboard

Chrome plugin JSONView(现已改名为 JSONVue) 存在安全漏洞

1

今天偶然打开 chrome 的扩展程序页发现 纳尼... **_JSONView_** 这个我一直非常喜欢的插件竟然存在安全漏洞，点进去发现 chrome 商店里也已经下架了😢[2016/12/23] 谷歌了下原来是今年四月份[知道创宇404安全实验室发现的漏洞](http://blog.knownsec.com/2016/04/%E6%98%8E%E6%9E%AA%E6%98%93%E8%BA%B2%E6%9A%97%E7%AE%AD%E9%9A%BE%E9%98%B2-jsonview-0day/)，简单来说就是 xss 攻击，注入恶意代码，腾讯玄武实验室也有[记录](http://xuanwulab.github.io/cn/secnews/2016/04/30/index.html)。 不过商店里有不少替代品： 推荐这个名字像孪生兄弟-可定制主题-的 **_JSON Viewer_**： [https://github.com/tulios/json-viewer](https://github.com/tulios/json-viewer)  (monokai) ***** **_[2017/02/04] Updated:_** JSONView 又上架了，版本： 0.0.32.3 最后更新日期： 2017年1月6日。 不过该项目地址 https://github.com/gildas-lormeau/JSONView-for-Chrome 仍是 0.0.32.2，chrome...

xhlwill

JavaScript 运算符优先级（从高到低）

4

ES2016 增加了一个运算符，就不告诉你增加了哪个 #20 😂 优先级 运算类型 关联性 运算符 20 圆括号 n/a ( … ) 19 成员访问 从左到右 … . … 需计算的成员访问 从左到右 … [ … ] new (带参数列表) n/a new...

xhlwill

Nginx 做代理时浏览器报错 net::ERR_CONTENT_LENGTH_MISMATCH

4

开发时用 nginx 反向代理浏览器报了个错： ``` net::ERR_CONTENT_LENGTH_MISMATCH ``` 以前也没出现这问题啊，看了下 nginx 配置，没啥问题，再看日志 `/usr/local/var/log/nginx/error.log` ``` ... "/usr/local/var/run/nginx/proxy_temp/5/00/0000000005" failed (13: Permission denied) ... ``` 应该是对缓存文件的权限问题，搜索找到 http://stackoverflow.com/questions/25993826/err-content-length-mismatch-on-nginx-and-proxy-on-chrome-when-loading-large-file 说问题出在运行 nginx 进程的用户 ``` nobody 13444 0.0 0.0 2464464...

xhlwill

nvm 设置下载 node 的镜像地址

7

在 windows 上安装 nvm 后准备安装 node，输入 `nvm install 6.9.2` 后就一直点点点… 经验告诉我（不要问我经验是谁）等到最后还是安装失败(ಥ _ ಥ) 在命令行输入 nvm 能看到 ``` bash λ nvm Running version 1.1.1. Usage: nvm arch : Show if node...

xhlwill

在一个项目需要引入另一个项目时通常有两种方法：submodule or subtree，关于它们的特点和如何选择它们在 #21 中有说明就不赘述了，我们来看看如何使用submodule。 **1. 初始化父项目my** 开发人员A克隆父项目my到目录my-A ```bash # git clone [email protected]:xhlwill/git-example-my.git my-A 正克隆到 'git-example-my'... warning: 您似乎克隆了一个空仓库。 ``` 然后新建一个文件a.txt，commit并推送到远程仓库。 ```bash # git commit -m "Initial commit" [master（根提交） 750bd31] Initial...

xhlwill

## iTerm2 **官网** https://www.iterm2.com/ **备注** 最好用的终端 ## NVM **官网** https://github.com/creationix/nvm **备注** 最好用的node版本管理 ## Alfred **官网** https://www.alfredapp.com/ **备注** 最好用的效率工具 **logo**  ## Xmind **官网** https://www.xmind.net/ **备注** 最好用的脑图工具 ## SourceTree **官网** https://www.sourcetreeapp.com/...

xhlwill

相对于 `ES2015`（民间习惯称作 [ES6](http://es6.ruanyifeng.com/)，知道你们看过阮老师的《ES6 标准入门》 🤦‍♂️ ）的大更新，`ES2016 (ES7)` 及之后的更新会更加小而频繁（一年一版）。到 2016.1.28 为止所有处于第四阶段的提案都将包括在 `ES2016` 中（来源于 **[ES 标准的编辑 Brian Terlson](https://twitter.com/bterlson/status/692427832555892736)**），这意味着 `ES2016` 除了一些修复外只加了两个新功能： - [Array.prototype.includes](https://github.com/tc39/Array.prototype.includes/) - [Exponentiation Operator](https://github.com/rwaldron/exponentiation-operator) 1⃣️ `arr.includes(el)` **几乎**相当于 `arr.indexOf(el) !== -1`，用来判断数组中是否含有某元素。只是对于 NaN...

xhlwill

用 [oh-my-zsh](https://github.com/robbyrussell/oh-my-zsh) 时我们知道要将当前 shell 改为 zsh，用的命令是 ```bash chsh -s /bin/zsh ``` 查看当前使用的是哪个 shell： ``` bash ➜ ~ echo $SHELL /bin/bash ``` 不过如果想知道系统上所有的 shells，可以如下列出 ``` bash ➜ ~ cat /etc/shells #...

xhlwill

最近几次看到神祗，又不会读 🐶 ，所以又搜了一下，发现挺有意思 ------ 《汉语大字典》“祗”字下说：  用同*，这跟《汉语大字典》一般的术语“同*”是有点儿区别的。只有异体字才说某字同某字。这儿的“用同*”，意思是“祗”和“祇”本来不是异体字的，只不过在使用当中由于某些原因，“祗”被用来表示“祇”的含义。“某些原因”，其实就是写错字了，但是呢，这样写错的人还不是一个两个，甚至还有名人，比如《汉语大字典》引的韩愈的文章里也写错了（当然可能是他自己写错了，也可能是抄书或者刻书的人弄错了），这样就不好简单地用写错字来描述这两个字之间的关系了，所以《汉语大字典》才会说“用同‘祇’”，说明“祇”被写错成“祗”这种现象具有一定的普遍性。 那为什么那么多人都容易写错这个字呢？ 题目里说，百度百科说是誊写时抄漏了一点。按百度百科的这个意思，带点的“祗”才是正字，而少一点的“祇”是抄漏一点的错字？这显然是不对的，因为少一点的“祇”才是正字，最多只能说是抄写时多抄了一点。 碑刻中一个字有多一点的写法，那是再常见不过的事情了。不过这一点点在“氏”的底下变成了“氐”，倒是不可能，因为要点的话，应该点在“氏”的右侧才是，而不会是在下部。所以这种情况就不必考虑了。 我觉得呢，是因为这个“祇”，不常用，读音又不容易辅助判断，或者写字的人根本不知道读音，所以不知偏旁该写成“氏”还是“氐”的人，应该不少，而当中自然有人会想当然就写成了“祗”。 “祗”“祇”这种情况，现在因为用得极少，所以估计很多人都分不清到底有没有一点。古人也一样。字形分不清楚的时候，其实本来还有一种辅助判断的办法，那就是读音。 所谓“秀才识字读半边”，“氏”的古音在支韵系，本来跟脂韵系的“氐”在读音上是有区别的，根据韵母就能知道到底是“氏”还是“氐”。但是，两类韵母在后来已经合流，到如今，韵母都发i这个音，自然也就无法通过韵母去判断了。那么声母呢，现在“氏”读shi，“氐”读di，以这两个字为声旁的字，大多也都跟这两字的读音相近。比如“纸”念zhi，一来常写不会错，二来真的提笔忘字，想想读音zhi，跟shi比较近，下笔也还会是“氏”。跟“纸”相比，“祇”既不算常用，读音qi也很难让人判断到底是“氏”还是“氐”——反倒是听起来跟卷舌音shi的差异要大些，反而容易被误认为应该要写作“氐”。 当然，很多人可能也不知道“祇”的读音是什么，也许是看到别人文章里有“神祇”，记得有这么个词，到自己写文章的时候，也想用，但是提笔就忘了，人家到底是有没有点的呢？“祗”或被用来当作“只”来用，出镜率相对“祇”来说还是比较高的，这时候，“祗”入选的几率自然也就会增加了。 此外，有“文字先生 古文字学”说【甲骨文中只有“祗“字，二者之间的古音是十分接近的】，这两句话都不完全准确。甲骨文实际上没有一个礻+氐的字形。所谓的“祗”，不过是一个象两甾相抵的字形，因为这个字形在后来的金文中与“敬”连用，所以把这字释为表“敬”之义的“祗”。至于“祗”和“祇”的古音，上头说了，中古音在支韵和脂韵，那么在上古自然也是在支部和脂部，固然二韵后来合流，比如《广韵》支脂之三韵同用，但并不能说“古音十分接近”这种话的。在古音的这个大范围里，大多数时候，二字的读音是不接近的。 via: http://www.guokr.com/ask/i/0393490759/ 1.“祇”，左“示”右“氏”。（qi2），地神。 2.“祗”，左“示”右“氐”。（zhi1），敬，恭敬。 3.“衹”，左“衣”右“氏”。（zhi3），但，只；（ti2），橘红色的衣服。 4.“袛”，左“衣”右“氐”。（di1），短衣服。 其实不难记，我们先看这个示字旁。示字上面一横代表天，中间的T字代表祭台，两边的点是人在拜——“示”是天在示现、显示，所以示字旁的字通常和祭祀有关。 示（祭祀）+氏（氏族）=地上的神；示（祭祀）+氐（低下）=恭敬。 所以“**神祇(qi2)**”才是正确的，“神”指天神，“祇”指地神，合起来就是广义上的神啦。 via: http://www.guokr.com/ask/i/0538532827/

xhlwill

如果你在chrome访问了一个开启HSTS的网站（强跳https），chrome最新的版本会记住并在下次你访问http时强制跳转https，而对网站开发者来说即使配了hosts也不管用，除非开启无痕模式。 那么在非无痕模式下能不能不跳转https呢？当然可以方法是： 1. 打开 `chrome://net-internals/#hsts` 在最下方的 Delete domain security policies 输入网址比如 example.com 并按删除(Delete)按钮 2. 然后打开 `chrome://settings/clearBrowserData` 勾选 Cached images and files 并点击清除数据(Clear data)按钮就可以了

xhlwill