?

1. Vue基礎(chǔ)常用指令循環(huán)v-for數(shù)組v-for="name in arr" , json格式v-for="name in jason", v-for="(k,v) in json"； {{$index}} , {{$key}}
   
2. 事件v-on:click/mouseout/mouseover/...,如： v-on:click="函數(shù)"，該指令可以簡(jiǎn)寫為@click="函數(shù)"
   
3. 顯示隱藏： v-show="true|false"
   
4. 事件對(duì)象 @click="func($event)", 參數(shù)$event相當(dāng)于js中的event
   
5. 事件冒泡，阻止冒泡：js的方式:event.cancleBubble=true或@click.stop
6. 事件默認(rèn)行為，阻止默認(rèn)行為：js的方式： event.preventDefault()或contextmenu.prevent
7. 鍵盤事件：@keydown ，@keyup等等
8. 屬性v-bind，如v-bind:src="", 簡(jiǎn)寫:src=""
9. 樣式clsaa和style:class="" 或 v-bind:class="":style="" 或 v-bind:style=""
10. 模板文本{{msg}}}，指令v-text=""只輸出一次 {{*msg}}html轉(zhuǎn)義輸出 {{{msg}}}，指令v-html=""
11. 過濾器：{{msg | filterA}} ，{{msg | filterA, filterB}}
12. 計(jì)算屬性computed：里面可以放置一些復(fù)雜的業(yè)務(wù)邏輯代碼
13. 動(dòng)畫效果transitions：可以結(jié)合第三方 CSS 動(dòng)畫庫(kù)，如 Animate.css 結(jié)合使用十分有用

• vue實(shí)例簡(jiǎn)單方法（var vm=new Vue(...)）

1. vm.$el：vue實(shí)例掛載的結(jié)點(diǎn)元素
   
2. vm.$data：就是data
3. vm.$mount：手動(dòng)掛載vue
4. vm.$options：獲取自定義屬性
5. vm.destroy：銷毀vue實(shí)例
6. vm.$log：查看vue實(shí)例現(xiàn)在數(shù)據(jù)的狀態(tài)
7. vm.$watch：數(shù)據(jù)監(jiān)聽

1. entry：配置入口js：main.js
2. output：配置打包后的信息
3. path：輸出文件的路徑(_dirname：文件當(dāng)前所在目錄地址)
4. filename：輸出的文件名稱：build.js
5. loaders：下載編譯相關(guān)文件的loader，如：vue-loader、css-loader、vue-style-loader，vue-html-loader、vue-hot-reload-api等

1. npm install vue-cli -g

• 父子組件通信
  

1. 子組件獲取父組件數(shù)據(jù)：props
2. 父組件獲取子組件的數(shù)據(jù)：父組件可以在使用子組件的地方直接用 v-on 來監(jiān)聽子組件觸發(fā)的事件使用
3. $on(eventName) 監(jiān)聽事件使用 $emit(eventName) 觸發(fā)事件

1. ElementUI（PC端）MintUI（移動(dòng)端）

1. 自定義組件可以使用

|- components/|- loading/ |- loading.vue |- index.js

在loading.vue中按照一般組件的方式定義組件功能及樣式模板，然后在index.js中導(dǎo)出組件:index.js

監(jiān)聽路由變化 (使用vue-router) watch(){ $route(to, from){ ... } }

見Web安全攻擊手段

一、XSS攻擊

• 名詞解釋：

XSS攻擊是跨站腳本攻擊(Cross Site Scripting)的簡(jiǎn)稱，為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS，是最常見的攻擊手段之一。

• 基本原理：

攻擊者在網(wǎng)頁(yè)中嵌入惡意腳本程序，當(dāng)用戶打開該網(wǎng)頁(yè)時(shí)，惡意腳本就開始在瀏覽器執(zhí)行，得以竊取用戶cookie、用戶名密碼、執(zhí)行下載木馬程序等。

• 防范措施：

1.對(duì)用戶輸入的數(shù)據(jù)進(jìn)行HTML轉(zhuǎn)義處理,將其中的<，!-，>,單引號(hào)等進(jìn)行轉(zhuǎn)義編碼。

2.利用現(xiàn)有的一些工具或者框架特性自動(dòng)做轉(zhuǎn)義處理。例如jstl。

二、CRSF攻擊

• 名詞解釋：

CSRF（Cross-site request forgery）是跨站請(qǐng)求偽造，也被稱為“One Click Attack”或者Session Riding，通常縮寫為CSRF或者XSRF，是一種對(duì)網(wǎng)站的惡意利用。也是非常常見的一種攻擊手段。跟XSS的有很明顯的區(qū)別，XSS是利用站內(nèi)信任用戶，CRSF是通過站外偽造信任用戶，盜用用戶身份，進(jìn)行攻擊。

• 基本原理

攻擊者通過盜用你的身份，偽造成你，以你的名義向網(wǎng)站發(fā)送惡意的請(qǐng)求，例如利用你的身份發(fā)送郵件、發(fā)短信、進(jìn)行交易轉(zhuǎn)賬等等。

• 防范措施

1.將cookie設(shè)置為httpOnly，這樣就無(wú)法通過js腳本或者其他程序獲取用戶cookie，從而讓攻擊者無(wú)法盜取你的身份。

2.每次請(qǐng)求都需要先獲取服務(wù)器端一個(gè)隨機(jī)token值，會(huì)話結(jié)束該隨機(jī)token就失效。

3.通過http頭的referer來識(shí)別。服務(wù)器端驗(yàn)證請(qǐng)求來源地址。

三、惡意sql注入

• 名詞解釋：

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。

• 基本原理：

把有攻擊目的的sql命令偽裝成表單或者接口參數(shù)，傳入服務(wù)器，欺騙服務(wù)器執(zhí)行惡意的sql腳本，以達(dá)到入侵服務(wù)的目的。利用這一漏洞，攻擊者可以修改服務(wù)器上數(shù)據(jù)庫(kù)的表數(shù)據(jù)、修改表結(jié)構(gòu)、甚至獲取用戶數(shù)據(jù)等等。目前大多數(shù)數(shù)據(jù)泄露事故都是通過sql注入實(shí)施的。

• 防范措施：

1.使用預(yù)編譯語(yǔ)句。利用sql中接口PreparedStatement來進(jìn)行。原理是預(yù)編譯把sql進(jìn)行轉(zhuǎn)義了。

2.使用ORM框架進(jìn)行數(shù)據(jù)庫(kù)操作。例如hibernate\ibaties。

3.避免脫敏字段明文儲(chǔ)存，萬(wàn)一真被盜了。破解明文可能也非常困難。

4.后端關(guān)于數(shù)據(jù)庫(kù)的異常不要返回給用戶端。讓惡意用戶沒有了解數(shù)據(jù)庫(kù)結(jié)構(gòu)的門路。

四、文件上傳漏洞

• 名詞解釋：

文件上傳攻擊是指攻擊者利用WEB應(yīng)用對(duì)上傳文件過濾不嚴(yán)，導(dǎo)致可以上傳應(yīng)用程序定義類型范圍之外的文件到Web服務(wù)器。

• 基本原理：

由于服務(wù)器端沒有對(duì)用戶上傳的文件進(jìn)行正確的處理（格式校驗(yàn)），導(dǎo)致攻擊者可以向某個(gè)可通過 Web 訪問的目錄上傳惡意文件，并且該文件可以被Web服務(wù)器解析執(zhí)行。

• 防范措施：

1.對(duì)上傳的文件類型做白名單校驗(yàn)（不是黑名單，最小原則）。

2.針對(duì)簡(jiǎn)單的文件后綴無(wú)法正確校驗(yàn)文件類型，可以根據(jù)文件內(nèi)容里的魔數(shù)進(jìn)行判斷文件類型，從而達(dá)到正真校驗(yàn)文件類型的目的。

3.對(duì)于圖片類型的文件，對(duì)圖片進(jìn)行適當(dāng)?shù)目s放壓縮處理，從而改變惡意圖片里的二進(jìn)制結(jié)構(gòu)。也可以防止一些惡意文件上傳。例如可以利用imagemagick工具包。

五、DDos攻擊

• 名詞解釋：

是一種分布式拒絕服務(wù)攻擊，是目前最強(qiáng)大、最難防范的攻擊方式之一。理解DDos，首先理解Dos攻擊，Dos攻擊是利用合理客戶端的請(qǐng)求來占用過多的服務(wù)器資源，從而使得服務(wù)器無(wú)法響應(yīng)。是一對(duì)一的方式，傳統(tǒng)服務(wù)器資源不足的情況下，效果很明顯。DDos是Dos基礎(chǔ)上產(chǎn)生的一類攻擊手段， 當(dāng)分布式架構(gòu)出現(xiàn)后，服務(wù)器的資源處理能力變強(qiáng)，DDos就將數(shù)量龐大的計(jì)算機(jī)聯(lián)合起來作為攻擊平臺(tái)，對(duì)一個(gè)或者多個(gè)目標(biāo)發(fā)起攻擊，從而達(dá)到是的目標(biāo)主機(jī)癱瘓的目的。

• 基本原理：

攻擊者會(huì)提前控制大量的用戶計(jì)算機(jī)（肉雞），并通過指令使得大量的肉雞在同一個(gè)時(shí)刻對(duì)某個(gè)主機(jī)進(jìn)行攻擊，從而達(dá)到癱瘓目標(biāo)主機(jī)的目的。

• 常見手段：

1.SYN Flood

利用tcp的三次握手機(jī)制，偽造大量ip,發(fā)送syn報(bào)文請(qǐng)求，由于都是虛假的ip，導(dǎo)致服務(wù)器端收不到客戶端ip的確認(rèn)回應(yīng)消息，導(dǎo)致服務(wù)器維護(hù)一個(gè)非常大的半鏈接等待列表，占用服務(wù)器資源。

2.DNS Query Flood

攻擊者隨機(jī)生成大量不存在域名地址，對(duì)DNS服務(wù)器發(fā)起域名解析請(qǐng)求，這就導(dǎo)致dns服務(wù)器大量的無(wú)用域名解析，從而耗費(fèi)DNS服務(wù)器資源，達(dá)到癱瘓DNS服務(wù)器的目的。

3.CC攻擊

是一種屬于DDos攻擊，是基于http協(xié)議發(fā)起的DDos攻擊，也成為http Flood，攻擊者通過控制大量的肉雞，從互聯(lián)網(wǎng)上搜索大量的匿名http代理，模擬正常用戶給網(wǎng)站發(fā)送請(qǐng)求，直到該網(wǎng)站拒絕服務(wù)為止。

六、其他攻擊方法

利用其他一些平臺(tái)或者具體軟件漏洞的攻擊，但是可以肯定的是：攻擊的手段永遠(yuǎn)比防御的手段多。例如：

• DNS域名劫持
• CDN回源攻擊
• 服務(wù)器權(quán)限升級(jí)
• 緩沖區(qū)溢出

具體的名詞解釋大家可以網(wǎng)上查閱。

好了。以上就是關(guān)于互聯(lián)網(wǎng)安全架構(gòu)中常見的web安全攻擊手段，以此大家在系統(tǒng)架構(gòu)考慮安全方面時(shí)可以參考。

本文由 @程序員研習(xí)社 原創(chuàng)，發(fā)布于頭條，未經(jīng)許可，禁止轉(zhuǎn)載

ikuTools - - miku.tools/

作為工具網(wǎng)站大佬MikuTools ，想想很多資深操作黨都使用過。光這一個(gè)網(wǎng)站就匯聚了50多個(gè)操作，分為媒體類、圖片處理類、文字處理類、編程類等，其中媒體類是主打功能。

玩Instagram的朋友都知道，這里的圖片是無(wú)法直接下載的，這個(gè)時(shí)候你就需要一些工具來輔助下載。MikuTools 就是這些工具的合集網(wǎng)站。一鍵幫你完成Instagram圖片下載、YouTube/TikTok/微博/抖音等視頻下載、嗶哩嗶哩封面獲取，甚至可以做到無(wú)水印獲取哦。操作起來特別簡(jiǎn)單，電腦小白也會(huì)用。選擇你需要的工具，然后輸入對(duì)應(yīng)鏈接，就能得到想要的結(jié)果。

腳本之家在線工具- -tools.jb51.net/

腳本之家更偏向開發(fā)者提供一些工具服務(wù)，懂網(wǎng)站開發(fā)、編程的人基本一看就懂。這里主要提供HTTP狀態(tài)碼/HTML/XML轉(zhuǎn)義字符、UI尺寸規(guī)范對(duì)照表、格式化工具（C語(yǔ)言、php代碼在線格式化、JSON格式化美化工具等）。同時(shí)還有一些站長(zhǎng)工具、生活工具，多達(dá)300個(gè)操作工具。

蛙蛙在線工具- -www.iamwawa.cn/

蛙蛙也是一個(gè)實(shí)用故居合集網(wǎng)站，開發(fā)編程類也有涉及，可以說是前面2個(gè)網(wǎng)站的熱門共功能合集版。常見的生活工具比如二維碼轉(zhuǎn)化、號(hào)碼歸屬地查詢、繁體字轉(zhuǎn)換器，其他的網(wǎng)絡(luò)技術(shù)類，比如域名查詢、CSS格式化、MD5加密等，在這里統(tǒng)統(tǒng)能找到。

以上三個(gè)網(wǎng)站，一鍵就能即可免費(fèi)使用，比下載N個(gè)軟件工具要方便得多。400多個(gè)操作合集，總有你想要的功能。再不趕緊收藏一份就要錯(cuò)過了！