ThinkJS

文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器上，当开发者没有对该文件进行合理的校验及处理的时候，很有可能让程序执行这个上传文件导致安全漏洞。大部分网站都会有文件上传的功能，例如头像、图片、视频等，这块的逻辑如果处理不当，很容易触发服务器漏洞。这种漏洞在以文件名为 U…

我们的项目是基于 ThinkJS + Vue 开发的，最近实现了一个多端实时同步数据的功能，所以想写一篇文章来介绍下如何在 ThinkJS 的项目中利用 WebSocket 实现多端的实时通信。ThinkJS 是基于 Koa 2 开发的企业级 Node.js 服务端框架，文章中…

前几天 Google IO 上 V8 团队为我们分享了《What's New in JavaScript》主题，分享的语速很慢推荐大家可以都去听听就当锻炼下听力了。看完之后我整理了一个文字版帮助大家快速了解分享内容，嘉宾主要是分享了以下几点： 开场就用 11x faster 数…

声享是一个基于 ThinkJS 开发的在线制作 PPT 平台。声享制作的 PPT 支持代码高亮、图片上传、神奇效果等功能，同时你可以在声享收藏自己喜欢的 PPT 、对自己的 PPT 进行分类管理。其中有一个 PDF 导出的功能，可以将自己制作的 PPT 导出成 PDF 保存到本…

不久前，我们接了一个自己做前端后端产品的活，从此过上了可怜巴巴敲代码开开心心收获知识的日子呢。 用户小姐姐在群里说，系统筛选工卡有效期不好使。（系统：不不不，不是我的锅 整整齐齐。 小姐姐们的操作流程是先用我们的系统导出一份 Excel，编辑之后再导入系统的，那只要我把这工卡一…

编者说：作为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了，然鹅并不是所有的同学对其都有一个清晰的认识。今天我们请来了@卢士杰 同学为我们分享他眼中的 XSS 漏洞攻击，希望能帮助到大家。 XSS（Cross-Site Scripting）又称跨站脚本，XSS的重点不在于跨…

编者注：俗话说的好 “并发不够，机器来凑”，当我们面对高并发请求的时候增加机器是最简单也是最土豪的做法。不过在资源有限的情况除了去优化代码我们又该怎么办呢？今天我们请来了 @有马 同学为我们分享一下他在这方面的经验，希望能帮助到大家。 想要开发牢固的Web API只考虑安全是不…

上周我们分享了一篇 《Web 安全漏洞之 SQL 注入》，其原理简单来说就是因为 SQL 是一种结构化字符串语言，攻击者利用可以随意构造语句的漏洞构造了开发者意料之外的语句。而今天要讲的 OS 命令注入其实原理和 SQL 注入是类似的，只是场景不一样而已。OS 注入攻击是指程序…

“有人的地方就有江湖，有数据库存在的地方就可能存在 SQL 注入漏洞。” 在所有漏洞类型中，SQL 注入可是说是危害最大最受大家关注的漏洞。简单说来，SQL 注入是通过在用户可控参数中注入SQL语法，破坏原有SQL结构，达到编写程序时意料之外结果的攻击行为。还是以 ThinkJ…

编者注：今天呢我们请来了 @有马 同学为我们分享他在做某数据可视化大屏项目的时候使用服务端渲染大屏动画的经验。说到服务端渲染大家一般都想到 Vue 的 SSR 或者 React 的同构吧，不过动画也是可以在服务端渲染的哦！所以让我们赶快进入正文看看到底是怎么实现的吧~ Thin…

在现代新建一个 JS 相关的项目往往都是从 package.json 文件开始的，不过这个文件里需要的字段实在是太多了，正常人都记不住，所以 npm 官方提供了 npm init 命令帮助我们快速初始化 package.json 文件。执行之后会有一个交互式的命令行让你输入需要…

在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种，目前绝大多数网站采用的还是 session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息，同时在 cookie 中将 session id（即刚才说的键）存储到 …

简单的来说就是通过 URL 抓取其它服务器上数据然后做对应的操作的功能。以 ThinkJS 代码为例，我们的实现方法大概如下： 本来是个不错的功能，但是当用户输入一个服务器可访问的内网地址，这个情况下它就会把内网的内容抓取出来展现给外网的用户。大多数公司会在内网中放置一些与公司…

在线试玩地址：https://dos.zczc.cz 仙剑、三国志、主题医院、大富翁、金瓶梅一系列经典游戏利用 WASM 技术在浏览器上重现，勾起一代人的回忆。

编者注：日常开发中少不了有大量的数据库查询操作，而关联模型的出现则是帮助开发人员尽量减少重复劳动。ThinkJS 中的关联模型功能也一直是受到大家的好评的，不过对于没有接触过的新同学有时候会不太懂如何配置。今天我们请来了 ThinkJS 用户 @lscho 同学为我们分享一下他…

从零开始学习MySQL，主要是面向MySQL数据库管理系统初学者。前端开发工程师为什么写这个入门教程呢？最近项目强迫我这个前端老司机使用MySQL，虽然我在项目中已经使用过一段时间，为了写出高质量的SQL语句，能快速定位解决数据库引发的问题，系统的过一遍基础，你也可以当做是我的…

编者注：众所周知，JS 最大的特性就是异步，异步提高了性能但是却给我们编写带来了一定困难，造就了令人发指的回调地狱。为了解决这个问题，一个又一个的解决方案被提出来。今天我们请来了 《JavaScript 高级程序设计》等多本书的知名译者 @李松峰 老师给我们讲解下各种异步函数编…

编者注：ThinkJS 作为一款 Node.js 高性能企业级 Web 框架，收到了越来越多的用户的喜爱。今天我们请来了 ThinkJS 用户 @lscho 同学为我们分享他基于 ThinkJS 开发一款类 CMS 的博客系统的心得。下面就赶紧让我们来看看 ThinkJS 和 …

代码调试按照调试方式大致分为 日志（Log） 和 断点（Breakpoint） 两种办法。其中日志就是手动的在代码中增加日志打印获取过程信息来判断问题。这种方法的好处是调试简单，一个对业务熟练的工程师通过线上良好的日志记录可以非常快的发现业务问题。但是它的缺点也非常明显，获取的…