![如何用css设置网页字体[多图]](/aiimages/%E5%A6%82%E4%BD%95%E7%94%A8css%E8%AE%BE%E7%BD%AE%E7%BD%91%E9%A1%B5%E5%AD%97%E4%BD%93%5B%E5%A4%9A%E5%9B%BE%5D.png)
常见攻击
XSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。但是随着前端技术的不断进步富客户端的应用越来越多,这方面的问题越来越受关注。举个简单例子 : 假如你现在是sns站点上一个用户,发布信息的功能存在漏洞可以执行js 你在 此刻输入一个 恶意脚本,那么当前所有看到你新信息的人的浏览器都会执行这个脚本弹出提示框 (很爽吧 弹出广告 :)),如果你做一些更为激进行为呢 后果难以想象。
CSRF(Cross Site Request Forgery),跨站点伪造请求。顾名思义就是 通过伪造连接请求在用户不知情的情况下,让用户以自己的身份来完成攻击者需要达到的一些目的。csrf 的攻击不同于xss csrf 需要被攻击者的主动行为触发。这样听来似乎是有“被钓鱼”的嫌疑哈哈。
多窗口浏览器这这方面似乎是有助纣为虐的嫌疑,因为打开的新窗口是具有当前所有会话的,如果是单浏览器窗口类似ie6 就不会存在这样的问题,因为每个窗口都是一个独立的进程。举个简单例子 : 你正在玩白社会, 看到有人发了一个连接,你点击过去,然后这个连接里面伪造了一个送礼物的表单,这仅仅是一个简单的例子,问题可见一般。
cookie劫持,通过获取页面的权限,在页面中写一个简单的到恶意站点的请求,并携带用户的cookie 获取cookie后通过cookie 就可以直以被盗用户的身份登录站点。这就是cookie 劫持。举个简单例子: 某人写了一篇很有意思的日志,然后分享给大家,很多人都点击查看并且分享了该日志,一切似乎都很正常,然而写日志的人却另有用心,在日志中偷偷隐藏了一个对站外的请求,那么所有看过这片日志的人都会在不知情的情况下把自己的cookie 发送给了 某人,那么他可以通过任意一个人的cookie 来登录这个人的账户。
我们该怎么做?
大致可以分为两类 1 一般用户 2网站开发人员。
首先我们来说说做为一个一般的web产品使用者,很多时候我们是被动的,是在不知情的情况下被利用的。那么我们可以:
1 对于安全级别较高的web应用访问 需要打开一个独立浏览器窗口。
2 对于陌生人发布的链接最好也是复制然后在新开的窗口中打开,当然最好的办法就是无视 – -。
对于开发人员来说我们得从相对详细的一些角度来分析:
对于xss 攻击 特点是攻击者的代码必须能获取用户浏览器端的执行权限,那么代码是从哪里来的呢,想要杜绝此类攻击出现 其实可以在入口 和出口 进行严格的过滤,这样的双保险应当说99% 的类似问题就被我们解决掉了,另外的1% 是那些蹩脚的浏览器带来的后遗症,相信在未来这种问题会越来越少的。
这里我对xss漏洞的形式作了一些整理
恶意代码值被作为某一标签的内容显示 (如果输入的是html 则html会被解析)例如你输入用户名 更新后用户名会显示到页面中的某一个标签内 如果你输入的是
popper.w<script src="hack.js" type="text/javajscript"></script>
那么如果不做过滤直接显示到页面, 会引进一个第三方的js 代码并且会执行。
策略:在不需要html输入的地方对html 标签 及一些特殊字符( ” < > &等等 )做过滤,将其转化为不被浏览器解释执行的字符
恶意代码被作为某一标签的属性显示(通过用 “ 将属性截断来开辟新的属性 或恶意方法) 这种情况往往是是开发人员为了实现功能可能会在某些dom标签上记录一些用户输入的信息例如你输入的用户名 会在页面中的标签中以 title 的形式出现 这时候 如果 你输入的是精心设计的内容 那么 看看 这个
<a title="popper.w" onclick="alert(1)">popper.w" onclick="alert(1)</a>
这里我实际上输入的内容是“popper.w” onclick=”alert(1)”,当然你可以在上边写更多的内容。
策略:对属性中可能存在截断的一些字符进行过滤 属性本身存在的 单引号和双引号都需要进行转码。
恶意代码被作为html代码本身显示 (常见的html编辑器) 这种情况存在的问题最多,不再这里举例子了。
策略:最好对用户输入的html 标签及标签属性做白名单过滤,也可以对一些存在漏洞的标签和属性进行专门过滤。
恶意代码被作为一段json字符串显示 (通过 变量截断 创造新的 恶意的js 变量 甚至是可执行的代码) 这个问题的关键是用户输入的信息可能会成为页面中js 代码的一部分。
策略:对属性中可能存在截断的一些字符进行过滤 属性本身存在的 单引号和双引号都需要进行转码。
对于crsf 和cookie 劫持
特点 隐蔽性比较高 有些时候是先利用xss 漏洞 然后再做 欺骗的
策略
通过 referer、token 或者 验证码 来检测用户提交。
尽量不要在页面的链接中暴漏任何与用户唯一号(用户id)有关的信息。
对于用户修改 删除 提交的操作最好都使用post 操作 。
避免全站通用的cookie 严格的设置cookie的域。
ok 就写到这里~
上边讲的都是一些比较常见的安全问题,主要是从js hack 方面来讲的,随着前端技术的不断发展进步,更多的安全问题可能会展现在我们面,对于开发者来说大多数的问题是可以在开发阶段避免的,所以可怕的不是hack 可怕的是我们对自己的产品安全的松懈
本周,科创板开市首周,A股上演“探底回升”走势,沪指录得四连阳。周一,科创板火热开场,25只个股全线走强,创下多项新股纪录,但强势表现并未蔓延至主板,沪指出现快速下跌走势,全天跌超1%。周二,指数围绕2900点震荡整固,触发一波反弹行情,此后沪指连续多日上行,2900点关口失而复得。受科创板影响, 科技 股全周表现较为活跃,创业板走势相对较强。
资金方面,本周市场量能依然维持较低水平,两市单日成交量最低跌至3200亿元左右。在缺乏基本面的刺激下,投资者观望情绪相对浓厚。值得一提的是,首批25只科创板新股以不到两市1/100的股票数量,贡献了7.56%的成交额。
展望下周,多项重磅事件接连来袭,一是,下周科创板首批25股,将迎来20%的涨跌停板规则;二是,宏观面上,第12轮中美经贸高级别磋商、美联储议息等大事亦将来临。密集的事件刺激下,市场将会走向何方?
重要新闻
统计局:6月规模以上工业企业利润同比下降3.1%
统计局披露数据,1-6月份,全国规模以上工业企业实现利润总额29840.0亿元,同比下降2.4%,降幅比1-5月份扩大0.1个百分点。6月份,规模以上工业企业实现利润总额6019.2亿元,同比下降3.1%,5月份为同比增长1.1%。
政治局会议有望近期召开,或定调下半年楼市
按照往年惯例,分析当前经济形势,部署下半年经济工作的中央政治局会议有望近期召开,其对楼市调控会做何种表态,或为下半年市场走向定下基调。有业内人士认为,预计三季度政策面坚持一城一策,部分地区可能会继续收紧,这会对一些价格过高城市的市场交易形成抑制效应,房企需要灵活制定去库存的策略。
沪深交易所就科创板A+H公司股票纳入沪深港通达成共识
7月26日晚,上交所深交所双双表示,根据沪深港通现行业务规则,A+H股公司股票属于沪深港通股票范围,原则上包括在上交所科创板上市的A股及其对应的H股。
科创板赚钱效应明显,本周有73只公募基金宣布可投科创板
科创板上市首周,首批25只科创板股票平均涨幅达140%,相关公募基金打新获利明显。Wind数据显示,截至7月27日,本周以来有73只公募基金宣布可投资科创板股票,其中包括银华深证100ETF、华宝上证180价值ETF(510030.OF)、华宝中证银行ETF(512800.OF)等指数基金。此前,已有逾千只基金公告可投资科创板股票。
基金重仓股集中度创九年新高,抱团大消费
兴业证券经济与金融研究院研究发现,二季度主动股票型基金前十大重仓股涵盖956只股票,较一季度的1044只股票数量下降了88只。重仓股中,前十大持仓股市值占所有重仓股的市值比重从2019一季度的23.3%上升至30.2%,占全部持股市值比重也上升至16.98%。这2个指标都超过了2012年时的高点。2019年二季度主动股票型基金的重仓股超配最多的行业分别是食品饮料、医药、家电、计算机、农林牧渔等。
瑞华所29家IPO项目均被叫停
证监会在其官网发布了最新IPO排队情况,瑞华会计事务所手中的正在排队的29家IPO项目均被暂停。截至7月25日,瑞华所在主板排队的10个项目,中小板排队的7个项目以及创业板正在排队的12家项目均处于“暂停”状态。值得注意的是,目前瑞华所手中除了正常IPO企业项目外,还有科创板项目。
美联储将举行议息会议,市场对降息预期较高
500亿元逆回购到期
下周将有500亿元逆回购到期。本周央行共开展500亿元逆回购操作,有4600亿元逆回购到期;开展2977亿元定向中期借贷便利(TMLF)和2000亿元中期借贷便利(MLF)操作,有5020亿元MLF到期。从全口径测算,央行本周公开市场操作实现净回笼4143亿元,创逾5个月以来单周新高。
3 只科创板新股下周申购
下周有5只新股申购,其中沪市主板有1只,科创板有3只,中小板有1只。这5只新股分别是下周一(7月29日)科创板的晶晨股份(688099.SH)和柏楚电子(688188.SH)、下周二(7月30日)中小板的青鸟消防(002960.SZ)以及下周三(7月31日)沪市主板的海星股份(603115.SH)和科创板的微芯生物(688321.SH),其中,科创板的晶晨股份和柏楚电子已公布发行价格,分别为38.50元、68.58元。
机构看市
海通证券: 科创板平稳推出,初期表现类似当年创业板,对存量板块影响不大。科创板是股权融资支持 科技 发展的载体,利于 科技 行业基本面。市场处于牛市第二波上涨的蓄势期,成交量萎缩很正常,06年初、09年初第二波行情启动前均如此。市场短期仍可能会反复,中期角度应以积极思维看待市场,耐心布局, 科技 和券商进攻,核心资产为基本配置。
兴业证券张忆东: 目前中短期行情因存在变数,仍处于“2019年N型走势、一波三折”的趋势下,但中国核心资产在此逆境中也存在崛起的机会,核心资产已经成为赢家的主战场。2、3季度宏观风险的洗礼之下,核心资产有望被砸出“黄金坑”,维持“2019年类似2005、2013年是新牛市的起点,行情N型走势”的判断,而新牛市是核心资产的牛市。
华鑫证券: 目前虽然短期指数存在调整压力,但中长期来看,三大指数均已具备发动新一轮行情基础,投资者做多情绪也有所修复,风险偏好提升明显。
板块掘金
CSS 2019 互联网安全领袖峰会
CSS 2019峰会将于2019年7月30日-31日在北京举行。峰会将以“产业升级安全升维”为主题,探讨在产业数字化转型时代背景下,安全行业的发展空间与未来方向。
峰会将围绕金融安全、云安全、大数据安全、产业与安全标准化等议题展开,联动和邀请信息安全产业各个群体,包括国内外行业巨头、安全上市企业领袖、新锐安全行业力量(创业企业)、信息安全领域的院士学者与会,对各领域的未来趋势进行探讨和预测。
影响板块:网络安全。板块个股:神州数码(000034.SZ)、海能达(002583.SZ)、中新赛克(002912.SZ)。
华为首款5G手机亮相,上下游产业链迎来新机遇
近期,华为首款商用5G手机Mate 20 X(5G)在深圳正式发布并同步开启预约。据悉,这是拥有“国内首张5G终端电信设备进网许可证”的5G手机,标志着5G手机时代正式开启,产业链也随之迎来新的发展阶段。
据华为在发布会现场介绍,华为Mate 20 X(5G)将于8月16日正式开售,售价6199元。华为Mate 20 X(5G)是目前唯一商用搭载双7nm 5G终端芯片模组(麒麟980+巴龙5000)的手机,拥有华为多项卓越的5G通信技术支持,商用支持NSA(非独立组网)和SA(独立组网),支持三大运营商5G频段。
影响板块:华为产业链。板块个股:光弘 科技 (300735.SZ)、硕贝德(300322.SZ)、汇顶 科技 (603160.SH)。
(绝对值 -)
根据查询相关资料显示:合格。房屋可靠性鉴定分为安全性鉴定和正常使用性鉴定。安全性鉴定分为Asu、Bsu、Csu、Dsu四类。正常使用性鉴定分为Ass、Bss、Css三类。根据上述评级结果,房屋可靠性等级评定为I、II、III、IV四个等级。最好查询当地官方网站获得第一手权威信息。
