为什么 script 标签不能写成自关闭形式

2015-3-24 liyangweb.com 李杨 HTML

今天早上在 Stack Overflow 看到了这个问题:Why don't self-closing script tags work? 。答案给出的解释是,在 XHTML 的标准里面规定非EMPTY 标签不能使用自关闭形式。注意这里使用的是全大写的 EMPTY ,所以我不把它翻译为「空白」。

那么 EMPTY 到底是什么呢?写过 DTD 的人应该知道它是个关键字,用来指明一个标签的内容必须是空白,而不能包含文本内容或子节点。看看具体的例子就很容易明白了:

阅读全文>>

标签: JavaScript HTML

评论(0) 浏览(1847)

跨站脚本攻击XSS的原理与预防

2014-7-22 liyangweb.com 李杨 JavaScript

简介:

用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息。攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTMLJavaScript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。

类型:

一. 反射型XSS(非持久型XSS

反射型XSS只是简单地把用户输入的数据“反射”给浏览器。黑客往往需要诱使用户“点击”一个恶意链接,才能攻击成功。

二. 储存型XSS(持久型XSS

存储型XSS会把用户输入的数据“存储”在服务器端。这种XSS具有很强的稳定性。如:黑客将一段恶意JavaScript代码写入博客,那么所有访问该博客的用户,都会在他们的浏览器中执行这段JavaScript代码。

三. DOM Based XSS

这种类型的XSS并未按照“数据是否保存在服务器端”来划分,DOM Based XSS本质上也是反射型XSS。单独划分出来,是因为DOM Based XSS的形成原因比较特别。通过修改页面的DOM节点,形成的XSS,称之为DOM Based XSS

阅读全文>>

标签: JavaScript PHP HTML XSS

评论(0) 浏览(3906)

十个超级技巧助你解决CSS兼容问题

2014-2-27 liyangweb.com 李杨 HTML

现在大部分都是用!important来 hack,对于ie6和firefox测试可以正常显示,但是ie7对!important可以正确解释, 会导致页面没按要求显示!找到一个针对IE7 不错的hack方式就是使用“*+html”,现在用IE7浏览一下,应该没有问题了现在写一个CSS可以这样。

一、针对firefox ie6 ie7的css样式
现在大部分都是用!important来 hack,对于ie6和firefox测试可以正常显示,但是ie7对!important可以正确解释, 会导致页面没按要求显示!找到一个针对IE7 不错的hack方式就是使用“*+html”,现在用IE7浏览一下,应该没有问题了现在写一个CSS可以这样:

阅读全文>>

标签: CSS初始化 HTML

评论(0) 浏览(2268)

html中几个常用的meta标签

2013-11-15 liyangweb.com 李杨 HTML

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><!--指定字符集-->
<meta name="keywords" content="" /><!--告诉搜索引擎当前网页的关键词-->
<meta name="description" content="" /><!--告诉搜索引擎当前网页的主要内容-->
<meta name="author" content="" /><!--告诉搜索引擎当前站点的作者-->

阅读全文>>

标签: HTML meta

评论(0) 浏览(2098)

Powered by emlog 冀ICP备13011830号-1