fish_head

## 原型继承 * 优点：复用父级方法 * 缺点：子类没有自己的属性，所有属性方法只能复用父级，处理不好容易跟别的实例串数据 代码如下： ```javascript function object(o){ function F(){}; F.prototype = o; return new F(); }; var Animal = { 叫声: '嘤嘤嘤', 名字: '', 走路: function (方式)...

## 隐藏类型 | 可见性 | 屏幕可见 | 可访问树 | | ---------- | -------- | -------- | | 完全隐藏 | 隐藏 | 隐藏 | | 语义上隐藏 | 可见 | 隐藏 |...

# 什么是XSS攻击，XSS攻击可以分为哪几类？如何防范XSS攻击？ ## XSS定义 > 跨站脚本（英语：Cross-site scripting，通常简称为：XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java，VBScript，ActiveX，Flash或者甚至是普通的HTML。攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。 ## 背景 当网景（Netscape）最初推出JavaScript语言时，他们也察觉到准许网页服务器发送可执行的代码给一个浏览器的安全风险（即使仅是在一个浏览器的沙盒里）。它所造成的一个关键的问题在于用户同时打开多个浏览器视窗时，在某些例子里，网页里的片断代码被允许从另一个网页或对象取出数据，而因为恶意的网站可以用这个方法来尝试窃取机密信息，所以在某些情形，这应是完全被禁止的。为了解决这个问题，浏览器采用了同源决策——仅允许来自相同域名系统和使用相同协议的对象与网页之间的任何交互。这样一来，恶意的网站便无法借由JavaScript在另一个浏览器窃取机密数据。此后，为了保护用户免受恶意的危害，其他的浏览器与伺服端指令语言采用了类似的访问控制决策。 XSS漏洞可以追溯到1990年代。大量的网站曾遭受XSS漏洞攻击或被发现此类漏洞 。研究表明，最近几年XSS已经超过缓冲区溢出成为最流行的攻击方式，有68%的网站可能遭受此类攻击。根据开放网页应用安全计划（Open Web Application Security Project）公布的2010年统计数据，在Web安全威胁前10位中，XSS排名第2，仅次于代码注入（Injection）。 ## 检测方法 **通常有一些方式可以测试网站是否有正确处理特殊字符：** * `>alert(document.cookie)` * `='>alert(document.cookie)` * `">alert(document.cookie)` * `alert(document.cookie)` * `alert...

只要不断开，就能够持续发。 因为是HTTP/1.1开始才有Connection 头，所以在1.1之前，只能是一个，在1.1以上，便是随便发。 在[RFC2616](https://tools.ietf.org/html/rfc2616)里有这么一句话： > A client that supports persistent connections MAY "pipeline" its requests (i.e., send multiple requests without waiting for each response). A server MUST send its responses...

哈哈哈，断更中。。。还是会持续完善的