希理

Chrome 会自带 XSS 防御，在注入标签的时候回被自动拦截,只能拦截主流的注入形式。 使用得到的 cookie 拿到 token 可以模仿用户的信息和行为进行常规的操作。 通过JS不断创建文件进行请求通过模仿某一服务器对指定服务器进行攻击。 对内容进行做转义，防止恶意的标…

这是MDN上给的官方概念，不用去管它，我粘出来只是为了显得专业点嘛... 重点看这里监听目标元素与其祖先或视窗交叉状态的手段，其实就是观察一个元素是否在视窗可见。 可以看到，交叉了就是说明当前元素在视窗里，当前就是可见的了。 其实就是一个简单的构造函数。 以上代码会返回一个In…

仔细地查找一下JavaScript中的API，实际上并没有多少关于断言的方法。唯一一个就是console.assert： 当condition为false时，该方法则会将错误消息写入控制台。如果为true，则无任何反应。 几个方法的区别可以查看这可能是你学习ES7遗漏的知识点。…

最近在学习微信小程序开发，实战踩了踩坑，仿写了某桔单车小程序的前端。 在仿写过程中，由于小程序完全是黑盒的，不像浏览器一样可以在开发者工具查看到代码、拿到素材。所以实现起来纯靠推测。这种时候，想到要是能像网页项目那样能照着抄多舒服啊～ 突然想到能不能获取到小程序地源文件，然后尝…

引言iPhoneX发布至今已经有将近一年的时间了，各类app都多多少少做了对iPhoneX的适配，那对于我们H5页面该做哪方面的适配呢？首先了解安全区域(safearea)的概念，它保证了内容在设备上

typeof 一般被用于判断一个变量的类型，我们可以利用 typeof 来判断number, string, object, boolean, function, undefined, symbol 这七种类型，这种判断能帮助我们搞定一些问题，比如在判断不是 object 类型…

小程序开发越来越热，开发中遇到各种各样的bug，在此总结了一些比较容易掉进去的坑分享给大家。 1. new Date跨平台兼容性问题 在Andriod使用new Date(“2018-05-30 00:00:00”)木有问题，但是在ios下面识别不出来。 因为IOS下面不能识别…

这道题的答案是：2、4、1、1、2、3、3。 cookie数据始终在同源的http请求中携带（即使不需要），即cookie在浏览器和服务器间来回传递。cookie数据还有路径（path）的概念，可以限制cookie只属于某个路径下 sessionStorage和localSto…