diff --git a/notes/分布式.md b/notes/分布式.md index 113837ce..a39ae35e 100644 --- a/notes/分布式.md +++ b/notes/分布式.md @@ -167,7 +167,7 @@ Zookeeper 提供了一种树形结构级的命名空间,/app1/p_1 节点的父 可用性指分布式系统在面对各种异常时可以提供正常服务的能力,可以用系统可用时间占总时间的比值来衡量,4 个 9 的可用性表示系统 99.99% 的时间是可用的。 -在可用性条件下,要求系统提供的服务一直处于可用的状态,对于用户的每一个操,请求总是能够在有限的时间内返回结果。 +在可用性条件下,要求系统提供的服务一直处于可用的状态,对于用户的每一个操作请求总是能够在有限的时间内返回结果。 ## 分区容忍性 diff --git a/notes/攻击技术.md b/notes/攻击技术.md index 46dd4616..31eeaaa4 100644 --- a/notes/攻击技术.md +++ b/notes/攻击技术.md @@ -13,6 +13,8 @@ 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。 +## 攻击原理 + 例如有一个论坛网站,攻击者可以在上面发布以下内容: ```html @@ -43,40 +45,23 @@ 例如将 `<` 转义为 `<`,将 `>` 转义为 `>`,从而避免 HTML 和 Jascript 代码的运行。 -## 富文本编辑器 - 富文本编辑器允许用户输入 HTML 代码,就不能简单地将 `<` 等字符进行过滤了,极大地提高了 XSS 攻击的可能性。 富文本编辑器通常采用 XSS filter 来防范 XSS 攻击,通过定义一些标签白名单或者黑名单,从而不允许有攻击性的 HTML 代码的输入。 以下例子中,form 和 script 等标签都被转义,而 h 和 p 等标签将会保留。 -> [XSS 过滤在线测试](http://jsxss.com/zh/try.html) - ```html
-Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist. -
+123
hello-
- http -
- --Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist. -
+123
<form> <input type="text" name="q" value="test"> - <button id="submit">Submit</button> </form>hello-
- http -
- -