21 |
25 |
26 |
27 |
28 |
29 | 22 | Welcome to {{ title }}! 你好 世界 !正式学习 angular 开发 23 |
24 |{a}-{b}
66 | } 67 | } 68 | 69 | ReactDOM.render( 70 |{{name}}
17 | ```
18 |
19 | 但是对于这种攻击方式来说,如果用户使用 Chrome 这类浏览器的话,浏览器就能自动帮助用户防御攻击。但是我们不能因此就不防御此类攻击了,因为我不能确保用户都使用了该类浏览器。
20 |
21 | 对于 XSS 攻击来说,通常有两种方式可以用来防御。
22 |
23 | 首先,对于用户的输入应该是永远不信任的。最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义
24 |
25 | ```js
26 | function escape(str) {
27 | str = str.replace(/&/g, '&')
28 | str = str.replace(//g, '>')
30 | str = str.replace(/"/g, '&quto;')
31 | str = str.replace(/'/g, ''')
32 | str = str.replace(/`/g, '`')
33 | str = str.replace(/\//g, '/')
34 | return str
35 | }
36 | ```
37 |
38 | 通过转义可以将攻击代码 变成
39 |
40 | ```js
41 | // -> <script>alert(1)</script>
42 | escape('')
43 | ```
44 |
45 | 但是对于显示富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。
46 |
47 | ```js
48 | const xss = require('xss')
49 | let html = xss('XSS Demo
') 50 | // ->XSS Demo
<script>alert("xss");</script> 51 | console.log(html) 52 | ``` 53 | 54 | 以上示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。 55 | 56 | 57 | ##### CSP 58 | CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击 59 | 60 | 通常可以通过两种方式来开启 CSP: 61 | 62 | - 设置 HTTP Header 中的 Content-Security-Policy 63 | - 设置 meta 标签的方式 64 | 65 | 这里以设置 HTTP Header 来举例 66 | 67 | - 只允许加载本站资源 68 | 69 | ``` 70 | Content-Security-Policy: default-src ‘self’ 71 | ``` 72 | 73 | - 只允许加载 HTTPS 协议图片 74 | 75 | ``` 76 | Content-Security-Policy: img-src https://* 77 | ``` 78 | 79 | - 允许加载任何来源框架 80 | 81 | ``` 82 | Content-Security-Policy: child-src 'none' 83 | ``` 84 | 85 | #### CSRF 86 | 87 | > ###### 涉及面试题:什么是 CSRF 攻击?如何防范 CSRF 攻击? 88 | 89 | CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。 90 | 91 | 举个例子,假设网站中有一个通过 GET 请求提交用户评论的接口,那么攻击者就可以在钓鱼网站中加入一个图片,图片的地址就是评论接口 92 | 93 | ``` 94 |Todos
44 | 50 |120 | todo works! 121 |
122 | 123 |
124 |
125 |
129 |
130 | -
126 |
- {{ todo.desc }} 127 |
-
45 |
- 1 46 |
正在改版中, 为了更好的体验, 还请谅解 ~~~
11 | 
12 |
13 |
--------------------------------------------------------------------------------
/moduleDemo/day1/1.jpg:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/qiuChengleiy/blog/5ad5819e55f311d42e8af923b97af75bfe514a70/moduleDemo/day1/1.jpg
--------------------------------------------------------------------------------
/moduleDemo/day1/1.txt:
--------------------------------------------------------------------------------
1 | 我是txt里的文字
-------------------------------------------------------------------------------- /moduleDemo/day1/fs.js: -------------------------------------------------------------------------------- 1 | /* 2 | * day 1 3 | * fs : 4 | */ 5 | 'use strict' 6 | 7 | const http = require("http"); 8 | const fs = require("fs"); 9 | 10 | const global_path = './day1/'; 11 | 12 | http.createServer((req,res) => { 13 | 14 | res.writeHead(200, {"Content-Type": "text/html;charset=UTF8"}); 15 | 16 | // 读取文件 17 | fs.readFile(`${global_path}/1.txt`, {"charset": "utf-8"}, (err,data) =>{ // 异步执行 执行顺序上外部代码先执行 回调是I/O操作完成后调用 18 | if (err) throw err; 19 | res.end(data); 20 | }) 21 | 22 | // 创建文件夹 异步执行 23 | fs.mkdir(`${global_path}upload/image`,(err) => { // 注意: 在创建image之前 upload要存在 不能直接写 /upload/image 24 | if (err) console.log(err); 25 | }); 26 | 27 | //检查文件 可以是文件夹或者可执行文件 28 | fs.stat(`${global_path}/upload/image`,(err,stats) => { 29 | if(err) console.log(err) 30 | 31 | // 获取文件的大小; 32 | console.log(stats.size); 33 | 34 | // 获取文件最后一次访问的时间; 35 | console.log(stats.atime.toLocaleString()); 36 | // 文件创建的时间; 37 | console.log(stats.birthtime.toLocaleString()); 38 | // 文件最后一次修改时间; 39 | console.log(stats.mtime.toLocaleString()); 40 | // 状态发生变化的时间; 41 | console.log(stats.ctime.toLocaleString()) 42 | // 判断是否是目录;是返回true;不是返回false; 43 | console.log(stats.isFile()) 44 | // 判断是否四文件夹 45 | console.log(stats.isDirectory()); // true 46 | 47 | 48 | // res.end("我是先调用的"); // 先调用回调/// 此时已经结束了 程序进行 并不会执行上边读取 txt文件的回调 49 | // 这里最好不要 res.end 结束请求 因为可能有其他已经执行的回调还没有调用 50 | }) 51 | 52 | // 查看文件夹下的所有文件 文件夹只会显示文件夹不会显示内部文件或者说是不会吧嵌套的文件夹或文件输出 53 | fs.readdir('./day1',(err,files) => { 54 | if (err) console.log(err); 55 | console.log(files) 56 | // 返回 57 | // [ '1.jpg', 58 | // '1.txt', 59 | // 'fs.js', 60 | // 'hello.js', 61 | // 'http.js', 62 | // 'index.html', 63 | // 'route.js', 64 | // 'upload', 65 | // 'user.html' ] 66 | 67 | 68 | // 迭代文件夹目录 : 异步变同步 (异步执行会导致某些检测直接跳过) 69 | let dirArr = []; // 存储文件 70 | 71 | (function iterator(i){ 72 | // 迭代结束 73 | if(i == files.length) { 74 | return 75 | } 76 | 77 | fs.stat(`./day1/${files[i]}`,(err,stats) => { 78 | if (err) console.log(err); 79 | if(stats.isDirectory()) { 80 | // dirArr.push(files[i]) 81 | fs.readdir(`./day1/${files[i]}`,(err,file_) => { 82 | if (err) console.log(err); 83 | console.log(file_) 84 | }) 85 | } 86 | iterator(i+1); // 遍历 87 | console.log(dirArr) 88 | }) 89 | 90 | 91 | })(0) 92 | }) 93 | 94 | 95 | }).listen(3000,(err) => { 96 | if (err) throw err; 97 | console.log('serer is starting on port 3000 O(∩_∩)O哈哈~'); 98 | }); 99 | 100 | 101 | 102 | // 补充: 103 | 104 | //遍历目录 (推荐使用) 105 | const path = require('path'); 106 | 107 | const forFile = function(dir) { 108 | let results = [ path.resolve(dir) ]; 109 | const files_ = fs.readdirSync(dir,'utf-8') 110 | 111 | files_.forEach(function(e) { 112 | var file = path.resolve(dir,e); 113 | 114 | const stats = fs.statSync(file); 115 | 116 | if(stats.isFile()) { 117 | results.push(file); 118 | console.log(file); 119 | }else if(stats.isDirectory()) { 120 | results = results.concat(forFile(file)); 121 | console.log(file); 122 | } 123 | }) 124 | 125 | return results; 126 | } 127 | 128 | console.log(forFile('./day1')) 129 | // [ '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1', 130 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/1.jpg', 131 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/1.txt', 132 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/fs.js', 133 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/hello.js', 134 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/http.js', 135 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/index.html', 136 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/route.js', 137 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/upload', 138 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/upload/image', 139 | // '/Users/qiuchenglei/node/NodeJS进阶学习/moduleDemo/day1/user.html' ] 140 | 141 | 142 | // 判断文件是否存在 143 | fs.access(`${global_path}/1.jpg`,(err) => { 144 | if(err) { 145 | throw err; 146 | } 147 | 148 | console.log('文件存在') 149 | }) 150 | 151 | 152 | 153 | 154 | //删除文件 155 | // fs.unlink('./第一张图片.jpg',(err) => { 156 | // //if(err) throw err; 157 | // }) 158 | 159 | 160 | // //删除目录 161 | // fs.rmdir('./test1',(err) => { 162 | // console.log(err); 163 | // }) 164 | 165 | 166 | 167 | // 文件重命名 可以是目录也可以是文件 168 | 169 | // fs.rename('./1.jpg','2.jpg',(err) => { 170 | // console.log('yes') 171 | // }) 172 | 173 | 174 | 175 | // 获取文件拓展名 176 | console.log(path.extname("sdad/sdada/index.html")); 177 | 178 | 179 | 180 | 181 | 182 | 183 | 184 | 185 | 186 | 187 | 188 | 189 | 190 | 191 | 192 | 193 | 194 | 195 | 196 | 197 | 198 | 199 | 200 | 201 | 202 | 203 | 204 | 205 | 206 | 207 | -------------------------------------------------------------------------------- /moduleDemo/day1/hello.js: -------------------------------------------------------------------------------- 1 | /* 2 | * day 1 3 | * 初识Node 4 | */ 5 | 'use strict' 6 | 7 | const http = require("http"); 8 | const fs = require("fs"); 9 | 10 | let res_ = (res,page) => fs.readFile(page, (err,data) => { 11 | if (err) throw err; 12 | res.writeHead(200, {"Content-Type": "text/html;charset=UFT-8"}); 13 | res.end(data); 14 | }); 15 | 16 | // node中没有web容器的概念,每一次的请求都要通过路由来处理 17 | 18 | http.createServer((req,res) => { 19 | 20 | //比如:读取一张图片 21 | if(req.url == "/1.jpg") { 22 | fs.readFile("1.jpg", (err,data) => { 23 | if (err) throw err; 24 | res.writeHead(200, {"Content-Type": "image/jpg"}); 25 | res.end(data); 26 | }); 27 | }else { 28 | req.url == "/" ? res_.call(this,res,"index.html") : res_.call(this,res,"user.html"); 29 | } 30 | 31 | }).listen(3000,(err) => { 32 | if (err) throw err; 33 | console.log('serer is starting on port 3001 O(∩_∩)O哈哈~'); 34 | }); 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | -------------------------------------------------------------------------------- /moduleDemo/day1/http.js: -------------------------------------------------------------------------------- 1 | /* 2 | * day 1 3 | * http : 4 | */ 5 | 'use strict' 6 | 7 | const http = require("http"); // http 模块 8 | const url = require("url"); // url 9 | const qs = require("querystring"); // 字符串查询模块 10 | 11 | 12 | http.createServer((req,res) => { 13 | 14 | // 设置请求头 15 | //res.setHeader({"Content-Type": "text/html;charset=utf-8"}) 16 | 17 | // 返回请求头 18 | res.writeHead(200,{"Content-Type": "text/html;charset=utf-8"}); 19 | // .css => text/css .jpg/.png => image/jpeg&png .js . 20 | 21 | 22 | 23 | // 输出 24 | res.write("hello nodejs
") 25 | 26 | // 两个是对象 一个是请求 一个是响应 27 | // console.log(req) 28 | // console.log(res) 29 | 30 | //req #代表锚点 它后边的hash不会触发网络请求 所以后边携带的参数都不会发送到服务器 31 | res.write(`${req.url}`) 32 | 33 | 34 | // 对url的解析 req.url #后边的值不会获取到 35 | 36 | res.write(`${url.parse("https://www.baidu.com/s?wd=%23rsv_20").host}
`); // 输出 host 主机/域名部分 37 | res.write(`${url.parse(req.url).pathname}
`); // 输出url地址部分 不携带参数 38 | res.write(`${url.parse(req.url).query}
`); // 输出参数部分 a=sada&b=sdjal982 39 | res.write(`${url.parse("/adasdada/inde.html#13131").hash}
`); // 输出#后边的参数 40 | res.write(`${url.parse(req.url).search}
`);// 输出?问号后边部分 a=sada&b=sdjal982 41 | // 其他的还有 origin port password protocol协议 42 | 43 | // 参数的解析 ?后边携带的参数 44 | let json = JSON.stringify(url.parse(req.url,true)); 45 | res.write(`${json.query}
`) // 会解析成一个对象 获取参数直接加上 query.name 46 | 47 | //Object 48 | // { 49 | // "protocol": null, 50 | // "slashes": null, 51 | // "auth": null, 52 | // "host": null, 53 | // "port": null, 54 | // "hostname": null, 55 | // "hash": null, 56 | // "search": "?a=1&b=2", 57 | // "query": { 58 | // "a": "1", 59 | // "b": "2" 60 | // }, 61 | // "pathname": "/adasdada/inde.html", 62 | // "path": "/adasdada/inde.html?a=1&b=2", 63 | // "href": "/adasdada/inde.html?a=1&b=2" 64 | // } 65 | 66 | 67 | // 查询字符串模块解析 url参数 68 | let arg = qs.parse('foo=bar&abc=xyz&abc=123'); 69 | console.log(arg) 70 | // { foo: 'bar', abc: [ 'xyz', '123' ] } 71 | // { foo: 'bar', abc: [ 'xyz', '123' ] } 72 | 73 | // 转换 不带参数默认转为下面 74 | //qs.stringify({ foo: 'bar', baz: ['qux', 'quux'], corge: '' }); 75 | // 返回 'foo=bar&baz=qux&baz=quux&corge=' 76 | 77 | // 带参数: 1:分隔符 2:之间的引用符号 78 | //qs.stringify({ foo: 'bar', baz: 'qux' }, ';', ':'); 79 | // 返回 'foo:bar;baz:qux' 80 | 81 | 82 | // 解码 默认情况下是utf-8 83 | // let code = qs.parse('w=%D6%D0%CE%C4&foo=bar', null, null,{ decodeURIComponent: gbkDecodeURIComponent }); 84 | // console.log(code); 85 | 86 | 87 | // url转换 .resolve 第一个参数:原来的地址 第二个参数目标地址 88 | res.write(`${url.resolve("127.0.0.1:3000/","/admin")}
`); // 127.0.0.1:/admin 89 | res.write(`${url.resolve("/index.html","username")}
`); // /username 90 | res.write(`${url.resolve("127.0.0.1:3000/index.html","/user")}
`); // 127.0.0.1:/user 91 | 92 | 93 | 94 | // 结束响应 结束响应后边就不能执行代码了 95 | res.end(); 96 | 97 | }).listen(3000,(err) => { 98 | if (err) throw err; 99 | console.log('serer is starting on port 3000 O(∩_∩)O哈哈~'); 100 | }); 101 | 102 | 103 | 104 | 105 | 106 | 107 | 108 | -------------------------------------------------------------------------------- /moduleDemo/day1/index.html: -------------------------------------------------------------------------------- 1 | 2 | 3 | 4 |
9 |
11 |
12 |
13 | hello world
10 |
14 |
15 |
16 |
--------------------------------------------------------------------------------
/moduleDemo/day1/route.js:
--------------------------------------------------------------------------------
1 | /*
2 | * day 1
3 | * 路由初探
4 | */
5 | 'use strict'
6 |
7 | const http = require("http");
8 |
9 | http.createServer((req,res) => {
10 |
11 | res.writeHead(200, {"Content-Type": "text/html;charset=UTF8"});
12 |
13 | let id = req.url.substr(7)
14 |
15 | if(req.url.substr(0,7) == "/count/") {
16 | if(/^\d{5}$/.test(id)) { // ID 只允许在5位 而且只能是5位数字
17 | res.end(`count is ${id}`);
18 | }else {
19 | res.end('err path')
20 | }
21 | }else if(req.url.substr(0,7) == "/pass_/") {
22 | if(/^\d{5}$/.test(id)) {
23 | res.end(`pass_ is ${id}`);
24 | }else {
25 | res.end('err path')
26 | }
27 | }else {
28 | res.end('err path')
29 | }
30 |
31 |
32 | console.log(id)
33 |
34 | res.end();
35 |
36 | }).listen(3000,(err) => {
37 | if (err) throw err;
38 | console.log('serer is starting on port 3001 O(∩_∩)O哈哈~');
39 | });
40 |
41 |
42 |
43 |
44 |
45 |
46 |
47 |
--------------------------------------------------------------------------------
/moduleDemo/day1/user.html:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 |
9 |
11 |
12 |
13 |
--------------------------------------------------------------------------------
/moduleDemo/day2/form.js:
--------------------------------------------------------------------------------
1 | /*
2 | * day 2
3 | * FORM: npm i -S formidable 中间件
4 | */
5 | 'use strict'
6 |
7 | const http = require("http");
8 | const fs = require("fs");
9 | const qs = require("querystring");
10 | const formidable = require('formidable');
11 | const util = require('util');
12 |
13 |
14 | let res_ = (res,page) => fs.readFile(page, (err,data) => {
15 | if (err) throw err;
16 | res.writeHead(200, {"Content-Type": "text/html;charset=UFT-8"});
17 | res.end(data);
18 | });
19 |
20 | http.createServer((req,res) => {
21 |
22 | if(req.url == "/") {
23 | res_.call(this,res,"./day2/index.html")
24 | }else {
25 | if(req.url == "/admin" && req.method == "POST") {
26 | // parse a file upload
27 | let form = new formidable.IncomingForm();
28 | form.encoding = 'utf-8';
29 |
30 | fs.access('./day2/upload',(err) => {
31 | if (err) {
32 | fs.mkdirSync("./day2/upload");
33 | }
34 | })
35 |
36 |
37 | form.uploadDir = "./day2/upload";
38 |
39 | form.parse(req, function(err, fields, files) {
40 |
41 | console.log(files.file.name);
42 |
43 | // 文件改名 新名称必须加上路劲
44 | if(files.file.name) {
45 | fs.rename(`./${files.file.path}`,`./day2/upload/${files.file.name}`,(err) => {
46 | if(err) console.log(err);
47 | });
48 | }
49 |
50 | res.writeHead(200, {'content-type': 'text/plain'});
51 | res.write('received upload:\n\n');
52 | res.end(util.inspect({fields: fields, files: files})); // 工具类
53 | });
54 |
55 | return;
56 | }
57 | }
58 |
59 | }).listen(3000,(err) => {
60 | if (err) throw err;
61 | console.log('serer is starting on port 3000 O(∩_∩)O哈哈~');
62 | });
63 |
64 |
65 |
66 |
67 |
68 |
69 |
70 |
--------------------------------------------------------------------------------
/moduleDemo/day2/index.html:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 |
5 | User
10 |14 | 15 | 16 | 17 | 18 | 75 | 76 | 77 | -------------------------------------------------------------------------------- /moduleDemo/day2/post.js: -------------------------------------------------------------------------------- 1 | /* 2 | * day 2 3 | * POST: node通过分割post发来的数据 通过事件监听来实现 4 | */ 5 | 'use strict' 6 | 7 | const http = require("http"); 8 | const fs = require("fs"); 9 | const qs = require("querystring"); 10 | 11 | let res_ = (res,page) => fs.readFile(page, (err,data) => { 12 | if (err) throw err; 13 | res.writeHead(200, {"Content-Type": "text/html;charset=UFT-8"}); 14 | res.end(data); 15 | }); 16 | 17 | http.createServer((req,res) => { 18 | 19 | if(req.url == "/") { 20 | res_.call(this,res,"./day2/index.html") 21 | }else { 22 | if(req.url == "/admin" && req.method == "POST") { 23 | let data = ''; 24 | req.on('data',(chunk) => { 25 | data+=chunk; 26 | console.log(data) //