V2EX › gamexg 的所有回复 › 第 180 页 / 共 290 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 176 177 178 179 180 181 182 183 184 185 ... 290

❮

❯

2017-03-10 13:57:21 +08:00

回复了 jellybool 创建的主题 › PHP › 哎，做点内容真难！ laravist 在淘宝上又被怼了

比较好奇视频的客户是？
我好像还从来没看过这种视频，感觉不如看文字版，明白的就直接过，不明白的查资料，可以自己控制进度。
视频需要跟着对方的进度，没法自己控制。

2017-03-10 12:03:24 +08:00

回复了 GoldenPillow 创建的主题 › 浏览器 › windows 装上了 yandex 浏览器试一试，发现从 chrome 可以无痛转移

@Vicer Firefox 的广告过滤不好用，可能没开境内广告规则，但是设置里面又无法设置规则。。。

2017-03-09 13:41:44 +08:00

回复了 shakoon 创建的主题 › Google › 三棒国行手机最新推送竟然带了谷歌框架

1+3t 也带 google 框架，印象有一些手机也带。
不过 play 之类的应用需要自己安装。

2017-03-08 22:03:06 +08:00

回复了 Smirn0ff 创建的主题 › 问与答 › 怎么伪装一个短信

android 的短信是 sqlite 数据库，自己修改试试吧。

2017-03-08 12:25:39 +08:00

回复了 oisc 创建的主题 › 分享发现 › 昨天 Visual Studio 2017 的发布大会直播有人看吗？

@gamexg #12 看错了 itellyou 的也是在线安装版...

2017-03-08 12:23:37 +08:00

回复了 oisc 创建的主题 › 分享发现 › 昨天 Visual Studio 2017 的发布大会直播有人看吗？

msdn 好快，已经有了。
神烦 vs.net 对 c 盘的占用，继续开个虚拟机安装社区版。

2017-03-06 16:00:09 +08:00

回复了 gamexg 创建的主题 › 业界八卦 › 一个大坑，京东无理由全保不保进水...

@kokutou #1
@onetrlee #2
@murmur #3
@czc2004211 #4

仔细研究了下，大概明白了。
京东对于低于 2 千元的手机提供了修随心服务，那个是包含进水保修。
而一些手机就提供无理由全保，这个不包含进水保修。

看起来是根据风险来提供不同的服务。

但是这个保修标题比较坑人，无理由、全保给人的感觉是一版的事故都保修，实际条款却派出了进水这一个常见问题。

2017-03-05 14:53:08 +08:00

回复了 iX 创建的主题 › 问与答 › ESXi 可以实现单机操作么？

我想我明白了意思。
把显卡、 usb 键盘鼠标直通给一个虚拟机，将这个虚拟机设置为开机启动就能达到楼主的需求。

不过第一次配置需要其他电脑设置。

2017-03-05 00:03:39 +08:00

回复了 itoolset 创建的主题 › 程序员 › go fmt 为什么强制 8 字符宽度的 tab 缩进？

在项目根目录加个 .editorconfig 文件

# http://editorconfig.org

root = true

[*]
charset = utf-8
end_of_line = lf
insert_final_newline = true
trim_trailing_whitespace = true

[*.go]
indent_style = tab
indent_size = 4

[*.tmpl]
indent_style = tab
indent_size = 2

[*.{less,yml}]
indent_style = space
indent_size = 2

[*.js]
indent_style = space
indent_size = 4

2017-03-04 23:33:20 +08:00

回复了 Hackghost 创建的主题 › 硬件 › 千元低性能电脑求推荐

@mythabc #9 双 x5550 ，实测空载 30 多 W 。
服务器内存白菜价， 48G 内存不到 400 元。
用起来舒心，直接开一堆虚拟机。

2017-03-04 15:04:12 +08:00

回复了 xu33 创建的主题 › 科技 › CSRF 问题求指教

@des #9 不明白你的意思。

>这样说吧，别人从后门（ XSS ）拿到你家的钥匙（ cookie ），你却要怪前门的防盗门（ token ）不安全。
不明白从那里理解出来的怪 token 不安全。
说的是 5 楼？那里已经说了网站如果使用了 http only cookie 。那么就不能按照常规的 xss 攻击只获取 cookie 了，这样获得的 cookie 是不齐全的，攻击者拿到了导入本地浏览器也无法使用。不过这时候是可以通过 js 来做那几个操作的。

>再说了 CSRF 需要去访问你挂了脚本的网站，你以为这个很简单

这个难度是有，但是并不是很大，例如在 v2 发个新闻，说是 google 被人脱裤了，留个网址，信不信会有一批人点进去看？出个热点有时候能够看到评论被 V2EX 刷屏。　

另外对于 get 请求就可以执行的，可以直接作为贴图，点开帖子就会中招。

2017-03-04 14:39:57 +08:00

回复了 xu33 创建的主题 › 科技 › CSRF 问题求指教

@des #6 不明白你的意思，上半截就是我理解的 csrf ，下半截是 xss 。不是前端，承认把 xss 的名字打错了，但是感觉主要部分理解是没问题的。

@xu33 #7 这样就没意义了。能够拦截请求也就意味着密码都能够抓到，那么除了删 https 没其他好办法。

2017-03-04 14:21:09 +08:00

回复了 xu33 创建的主题 › 科技 › CSRF 问题求指教

这么说吧， csrf 攻击是这样的：

1.网站删除文章功能是个 post 请求
2.攻击者构建一个网页，网页自动提交删除的那个 post 请求，现在的 html 规范是允许这种提交的。
3.引诱管理员访问这个网页。
4.这个网页自动提交了删除的那个 post 请求。按照浏览器规则，这个请求会带着被攻击网站的 cookie ，是以管理员的身份提交的。
5.如果没有做 csrf 防护，那么这个删除请求会被执行。而如果做了防护，攻击者是无法获得 token ，删除请求不会被执行。

xxs 可以看作是前端的注入，输出用户提交的内容未作过滤，造成访问时会自行攻击者的 js ，那么这时候攻击者是可以获得和网页 js 同一权限
。虽然 http omly 可以预防获得 cookie ，但是攻击者是可以以用户身份执行操作的，例如如果时管理员中招，可以删帖等。如果时普通用户中招，可以添加关注，可以继续向其他好友发起攻击进行传播等。

2017-03-04 14:14:16 +08:00

回复了 xu33 创建的主题 › 科技 › CSRF 问题求指教

xxs 攻击才能够执行 js ，才有可能获得非 http only 的 js 。这个要求在所有输出的地方做转义。

2017-03-03 20:03:51 +08:00

回复了 saxon 创建的主题 › 问与答 › 请教 golang 怎么生成 callgraph 呀？

没用过这个，但是 pprof 类似这个，需要安装 graphviz 。

2017-03-03 19:56:44 +08:00

回复了 QAPTEAWH 创建的主题 › 硬件 › AMD CPU 会有啥兼容性问题么？

@loveuqian #4 这么巧，同样 5800k 5 年...

好像黑苹果不能在 amd 上面跑，还有那个 intel 的用 ssd 给机械硬盘加速的功能没法用。

2017-03-03 17:18:29 +08:00

回复了 vipwpcom 创建的主题 › 问与答 › 手机更换频繁，需要购买千元以下手机推荐

建议保险，一般保险保额上限是手机价格，应该够换几次屏幕。

本来想推荐 zte a2 的，不难看。但是 7 天内出现了一次开机卡启动界面，就不推荐了。

1 ... 176 177 178 179 180 181 182 183 184 185 ... 290

❮

❯