这也是为什么将js脚本放在底部而不是头部。 href是Hypertext Reference的缩写,指向网络资源所在位置,建立和当前元素(锚点)或当前文档(链接)之间的链接。...如果我们在文档中添加那么浏览器会识别该文档为css文件,就会并行下载资源并且不会停止对当前文档的处理。这也是为什么建议使用link方式来加载css,而不是使用@import方式。...method get/post 用于设置表单数据的提交方式,其取值为get或post。 name 名称 用于指定表单的名称,以区分同一个页面中的多个表单。...但有时候我们希望关闭输入框的自动完成功能,例如当用户输入内容的时候,我们希望使用AJAX技术从数据库搜索并列举而不是在用户的历史记录中搜索。...这也是为什么将js脚本放在底部而不是头部。
下文中的域名、DNS解析记录、IP等信息均为作者自行注册或手动搭建的环境,努力做到还原当时的渗透场景。...,为了避免影响其他用户,我们特地通过一个url参数来控制执行 // 获取当前页面的 URL var currentUrl = window.location.href; // 解析 URL 查询字符串中的参数... 这里选择通过前端页面提交文件时,而不是直接通过发送...所以,通过前端页面提交文件的方式更为便捷,因为它能够直接利用已有的Cookie中的key信息,绕过了这个关键的校验步骤。这就是为什么选择这种方式而不是直接发送POST请求包的原因。...:它设置了请求的内容类型为多部分表单数据(multipart form data),并指定了用于分隔表单数据不同部分的边界。 -Body ...
它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。...2 HEAD 类似于 GET 请求,只不过返回的响应中没有具体的内容,用于获取报头 3 POST 向指定资源提交数据进行处理请求(例如提交表单或者上传文件)。数据被包含在请求体中。...POST 请求可能会导致新的资源的建立和/或已有资源的修改。 4 PUT 从客户端向服务器传送的数据取代指定的文档的内容。 5 DELETE 请求服务器删除指定的页面。...query-string] scheme 指定低层使用的协议(例如:http, https, ftp) host HTTP服务器的IP地址或者域名 port# HTTP服务器的默认端口是80,这种情况下端口号可以省略...Cache-Control:max-age=10 设置缓存最大的有效时间,但是这个参数定义的是时间大小(比如:60)而不是确定的时间点。单位是[秒 seconds]。
same-site的变化是什么,对我们的业务有什么影响? 为什么有了same-site,还需要same-party?...同源协议中的源是由「协议+域名+端口」三者一起定义的,有一个不同就不算同源,而同站只受域名的约束,并且还不要求一模一样——只要「有效顶级域名+二级域名」相同,都算同站。...>发送预加载发送GET 表单<form method="GET" action="..."...但这不是版本答案。 SameParty 上面说到,为了绕开浏览器对三方cookie的限制,保障业务的正常,我们的解决方式是把same-site又设置回none。...而不在集合中的baidu.com发起的AJAX请求则不会带上。 需要注意的是,使用same-party属性时,必须要同时使用https(secure属性),并且same-site不能是strict。
-- 注释内容 --> 注意:注释内容不会显示在浏览器中,但是作为 HTML文档内容的一部分,注释标签可以被用户看见,所以在注释中一定要写正能量的内容 为什么使用单标签?...2.7.1 超链接的语法格式 文本/图像 属性 作用 href 用于指定链接目标的 url 地址,(必须属性)当为标签应用...="www.baidu.com">百度 跳转到图片标签 不跳转 <a href="https...2.10 表单标签 使用表单目的是为了收集用户信息。 在我们网页中, 我们也需要跟用户进行交互,收集用户资料,此时就需要表单。...各种表单元素控件 常用属性: 2.10.3 表单控件 在表单域中可以定义各种表单元素,这些表单元素就是允许用户在表单中输入或者选择的内容控件
为什么: 类型属性不是必需的,因为 HTML5 把 text/css 和 text/javascript 作为默认值。没用的代码应在网站或应用程序中删除,因为它们会使网页体积增大。...怎么做: 尽可能尝试使用 CSS3 效果(而不是用小图像替代) 尽可能使用字体图片 使用 SVG 使用编译工具并指定 85 以下的级别压缩。 2、图像格式: 适当选择图像格式。...比较不同的格式,有时使用 PNG8 比 PNG16 好,有时候不是。 3、使用矢量图像 VS 栅格/位图: 可以的话,推荐使用矢量图像而不是位图图像。...includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过 HTTPS 协议来访问。 preload,可选参数,一个浏览器内置的使用 HTTPS 的域名列表。...第一种方案并非是指从零开始实现一个 HTTP/2 服务器,仅仅是指从程序入手,直接对外暴露一个支持 HTTP/2 的服务器。大多数情况下,我们会使用现成的 HTTP/2 库。
方案 那么为了解决阻挡这一问题,我们可以对某些URL的域名分散处理,比如我们的图片域名,一般用类似img.ccswust.org的域名,当一个页面包含20多张图片的时候,那至少有10几个请求会被阻挡,而如果我们分散到...由下图会发现,有时候花在域名解析的时间会非常的长,在实际的测试过程中,我甚至见过3s的。...一般浏览器会适当的对解析结果缓存,并对页面中出现的新域名进行预解析,但并不是所有的浏览器都会这么做,为了帮助其它浏览器对某些域名进行预解析,你可以在页面的html标签中添加dns-prefetch告诉浏览器对指定域名预解析...cookie隔离 那就是为什么用img0.tbcdn.cn这个域名,而不是img0.taobao.com呢?...当然,分析各个request的DNS 解析时间会更直接(可以用WebPageTest)。
超文本标记语言 (HTML, HyperText Markup Language) ,是构成网页的最基础的内容,用来创建并以可视化方式来呈现网页,它确定了一个网页的内容而不是功能HTML 给英文文本加上了标记...HTML 链接由标签定义,链接的地址在 href 属性中指定:This is a link下面列出了适用于大多数 HTML 元素的属性..."浏览"按钮,供文件上传,当表单出现文件上传的时候,提交方式只能是postselect 元素,表单控件,可创建单选或多选菜单,select 元素中的 标签用于定义列表中的可用选项textarea...label 绑定到另外一个元素直接嵌套文本跟表单控件密码输入框:通过属性 for 来指定生效的控件baidu<
(邮件接收) ⑧.https=>443(加密传输) 4.分清概念:URL/URN/URI(了解) (1).URL:统一资源定位符 URL: URL:<img...,请求方式有地址栏输URL、超链接/JS跳转、SRC/HREF属性、表单GET提交、AJAX-GET请求 ①.GET /user HTTP/1.1 表客户端想获取所有用户 ②.GET /user?...(ajax默认项) application/x-www-form-urlencoded 请求主体是经过编码后的表单数据 multipart/form-data 表单中包含上传的文件数据 D.客户端自定义头部...,这些副本就成为“文档缓存” 当客户端再次发送针对同一个URL的请求时,如果本地有“已缓存的副本”就可以直接从本地存储设备面不是远程服务提取该文档了 数据缓存有下列优点: (1).减少了冗余的数据传输,...404 表示 "Not Found" 错误,当 readyState 为2才有,小于 3 的时候读取这一属性会导致一个异常 (4).statusText:用名称而不是数字指定了请求的 HTTP 的状态代码
我们将学到怎么创建一个自定义登陆页面来实现 Spring Security 基于表单的验证。...,那么我们就需要提供相应的渲染(登陆)页面。...,有几个关键点,如下: 表单应该触发 /login 的 post 接口 表单应该在参数中指定名为 username 的用户名 表单应该在参数中指定名为 password 的密码 如果 HTTP 参数名为...然而,如果需要,我们可以使用额外的配置自定义想要的内容 Spring MVC Controller 让我们在 Spring MVC 中创建一个 /login 的 GET 方法来渲染登陆模版: import...我们点击应用中的退出按钮以登出应用: 总结 在这篇 Spring Security 教程中,我们学到了如何应用 Spring Security 基于表单的验证来自定义登陆页面。
这就是为什么在服务端要判断请求的来源,及限制跨域(只允许信任的域名访问),然后除了这些还有一些方法来防止 CSRF 攻击,下面会通过几个简单的例子来详细介绍 CSRF 攻击的表现及如何防御。...-- form 表单的提交会伴随着跳转到action中指定 的url 链接,为了阻止这一行为,可以通过设置一个隐藏的iframe 页面,并将form 的target 属性指向这个iframe,当前页面iframe...我们可以看到在第三方页面调用 http://127.0.0.1:3200/pay 这个接口的时候,Cookie自动加在了请求头上,这就是为什么 http://127.0.0.1:3100/bad.html...下面会分别对上面例子进行简单的改造来说明这三种情况 自动发起Get请求 在上面的 bad.html中,我们把代码改成下面这样 <!...-- form 表单的提交会伴随着跳转到action中指定 的url 链接,为了阻止这一行为,可以通过设置一个隐藏的iframe 页面,并将form 的target 属性指向这个iframe,当前页面iframe
前言 在前端站点上下载文件,这是一个极其普遍的需求,很早前就已经有各种解决方法了,为什么还写这么老的文章,只是最近在带一个新人,他似乎很多都一知半解,也遇到了我们必经问题之“不能下载txt、png等文件...(如txt/png等) open或location.href 最简单最直接的方式,实际上跟 a标签访问下载链接一样 window.open('downloadFile.zip'); location.href...a标签的download 我们知道, a标签可以访问下载文件的地址,浏览器帮助进行下载。...即浏览器能预览的还是会预览,而不是下载。 简单用法: 点击下载 可以带上属性值,指定下载的文件名,即重命名下载文件。...虽然 type属性已指定了文件的类型,但是为了稳妥起见,还是在 download属性值里指定后缀名,如Firefox不指定下载下来的文件就会不识别类型。
为什么我要用 Hexo + GitPage 搭建博客?...,可以说 GitPage 出生的目的就是为了服务于 GitHub,我们知道 GitHub 上有众多非常优秀的开源项目,有些项目比较大,涉及到框架级别的项目它的说明文档就不是写几个 Readme 就能讲清楚的事了...搭建步骤 环境准备 安装 Node.js(我们要用它来安装博客框架、渲染主题等)。 安装 Git(我们要用它来下载主题、提交、部署文章等)。...自定义域名 1、首先你需要去域名注册商(阿里云腾讯云等)买一个域名 2、在根站点下source目录中添加CNAME文件,文件内容为您购买的域名xxx.com,不要添加www、mail等子域例如www.xxx.com...或mail.xxx.com 3、前往域名控制台解析此域名到github.io,根据 gitpage 的自定义域名要求,他们建议解析到github.io的数字 ip 地址,即151.101.129.147
如果不指定,默认为当前文档的主机(不包含子域名)。如果指定了 Domain,则一般包含子域名(子域名可以访问父域名的 Cookie)。...✔ Path Path 标识指定了主机下的哪些路径可以接受 Cookie(该 URL 路径必须存在于请求 URL 中)。以字符 %x2F (/) 作为路径分隔符,子路径也会被匹配。...,如图片加载或者 iframe 不会发送,而点击 标签会发送; 请求类型 示例 正常情况 Lax 链接 发送 Cookie 发送 Cookie 预加载 发送 Cookie 发送 Cookie GET 表单 <form method...Session 从客户端传输到服务端的方式有两种: 通过 Cookie 传输; 通过 URL 传输; 表单隐藏字段,通过在 中添加一个隐藏字段,把 Session 传回服务器; 基于 Cookie
如果对以上描述还不是很了解的话,可以参考百度百科 在余弦大大和xisigr大大的书籍《Web 前端安全技术揭秘》第三章中这样说道: 跨站脚本的重点不在“跨站”上,而应该在“脚本”上...因为这个“跨”...实际上属于浏览器的特性,而不是缺陷,造成“跨”的假象是因为绝大多数的 XSS 攻击都会采用嵌入一段远程或者说第三方域上的脚本资源。...Session 和 Cookie 最大的区别在于:Session 是保存在服务端的内存里面,而 Cookie 保存于浏览器或客户端文件里面 这里提到 Session 是因为我们在现实情况中可能会出现已经获取到了...id=1"; document.body.appendChild(img); 通过 javascript 自动构造隐藏表单并提交 (POST) 通过 XMLHttpRequest 直接发送一个 POST...这是由于在 javascript 中只会将;作为语句的终止符,当浏览器引擎解析 javascript 脚本时没有匹配到;便会继续处理,知道发现下个分号为止,而换行符并不是终止符。
5、js中变量的合理利用 6、href="javascript:;" 和 href=""以及href="#"的区别: "#"包含了一个位置信息,默认的锚点是#top 也就是网页的上端,a href...而javascript:void(0) 仅仅表示一个死链接 这就是为什么有的时候页面很长浏览链接明明是#可是跳动到了页首, 而javascript:void(0) 则不是如此,所以调用脚本的时候最好用...hidden; width/height(0); 透明度(opacity); left/top; 白色div遮盖; margin(负值或超大...)…… 9、事件:鼠标事件、键盘事件、系统事件、表单事件,元素添加事件的方法:(obj.事件名) 10、函数:不会主动执行,调用方法:直接调用abc(); 事件调用 元素.事件名=函数名/匿名函数 11....class, div'); document.querySelectorAll(css selector'); 匹配指定CSS选择器选择的所有元素
而window.onload只能一次 2.3 事件处理和委派【掌握】 on(events,[selector],[data],fn),在选择元素上绑定一个或多个事件的事件处理函数。...为了尽快解决这些问题,我们我们先介绍以下内容: 。...serializeArray()将表单中所有内容转成json数组 5 Javascript跨域 域名:(英语:Domain Name),又称网域、网域名称,是由一串用点分隔的名字组成的Internet...域:服务器域名,唯一标识(协议、域名、端口)必须保证一直,说明域相同。 跨域:两个不同域名之间的通信,称之为跨域。...•由于同源策略,一般来说位于 server.example.com 的网页无法与不是 server.example.com 的服务器沟通,而 HTML 的 元素是一个例外。
从自动填写表单、执行重复性任务、截取屏幕截图到抓取网站数据,您想使用此扩展程序做什么取决于您。...自动搜索 自动打开网站:stackoverflow 第一个Trigger块,触发方式可以是:手动、指定星期、指定日期时间、快捷键;第二个NewTab块,打开谷歌网站;第三个Forms块,通过辅助工具定位到输入框...https://img.keaitupian.cn/uploads/*.jpg 注:因为网站主页: https://www.keaitupian.cn/ 和img.keaitupian.cn不是同一个域名...NewTab打开img域名页,防止跨域,这里打开地址为: https://img.keaitupian.cn/newupload/11/1637224362487977.jpg LoopData的loopID...datas中取出fengmianurl这个数组,进行遍历,下载图片地址。 LoopBreakpoint结束loopID为two的loopData块;第一个CloseTab关闭img图片域名页面。
所谓的“自动登录”指的是:我们登录一些网站,在不关闭浏览器以及距离上次登录时间不是很长的情况下。无论我们在新的标签页打开网站,还是关闭页面重新打开网站,登录状态一直保持着。...1 新建项目 我为了将本系列所有文章的示例代码保持集中状态,所以直接在 Django_demo 项目中创建应用。如果第一次看这文章,需要先创建项目(project),再创建应用(app)。...# Session的cookie保存的路径(默认) SESSION_COOKIE_DOMAIN = None # Session的cookie保存的域名...# 指定呈现样式字段、指定 CSS 样式 widgets = { 'username': TextInput(attrs={'class': '...同时,Cookie 中多了一个 sessionid 的字段。这字段名就是我们在 setttings.py 定义的。 查询数据库 django_session 表的内容,会多出一条数据。
比如:当我们请求某个页面时,如果浏览器之前没有访问过这个域名,那么就需要进行DNS解析,解析为一个IP地址,当第一次初始化完成之后,这个IP地址可能会被缓存一段时间,这样就可以直接从缓存检索IP地址,而不再是通过域名服务器进行解析...并且,通过域名加载页面通常仅需要一次DNS解析,但是如果应用中的图片,文本,脚本,样式不在同一个域名下,则需要多次DNS解析。...然后在 href属性中指要跨域的域名: 请记住以下三点:首先,dns-prefetch..." href="https://909500.club.com/"> 延迟加载(懒加载) 是一种将资源标识为非阻塞(非关键)资源并仅在需要时加载它们的策略。...即webpack中的code splitting。 而对于css的优化,除了删除不必要的css之外,一个非常不常见的技巧就是使用媒体查询。 默认情况下,浏览器假设每个指定的样式表都是阻塞渲染的。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
