原型污染-编程思维

使用不可信的数据,通过调用不安全的递归函数来暴露默认原型 原型污染:基础 什么是原型污染?   原型污染是一种针对JavaScript运行时的注入攻击。通过原型污染,攻击者可以控制对象属性的默认值,从而篡改应用程序的逻辑并可能导致服务被拒绝,甚至在某些极端情况下远程执行代码。   现在,你是不是满脑子充满了各种疑问。到底什么是“在运行时改写对象的属性”?它如何影响应用程序的安全?而且,更重要的是

如何在电脑上测试手机网站(补充)和phonegap-编程思维

颜海镜 介绍了专业人士精准测试手机网站的经验 http://www.cnblogs.com/yanhaijing/p/3557261.html, 因为太专业了,稍显复杂和琐碎,这里我介绍下我一直关注的的 inter XDK 去年的 xdk 是浏览器插件,今年用nodejs重写了,可见前端会nodejs ,想做啥就做啥 下载地址    http://xdk-software.intel.com/i

百度mobile ui组件gmu demo学习1-结构和初始化-编程思维

移动web现在已经是zepto的天下,但是一直找不到合适UI库,找了一段时间,终于找到了百度的ui库gum和inter 的 appframework UI库 相比之下,百度的UI库更接地气,配合百度强大的用户群,在各种山寨机和山寨浏览器上也可以取得不错的体验,最近终于有时间学习下这个ui库希望等一步一步进入移动web开发领域。 这是在线的api http://gmu.baidu.com/do

dom事件不求甚解,色解事件捕获和冒泡-编程思维

以前对事件只会用jq的bind绑定一下,脑海里留着书中的事件循环,一直认为事件就是这儿循环的,最近看园子里的文章,对事件的了解更模糊了 所以我做了个小实验,总结一下看的这些零零碎碎的文章,如果总结错了,请在评论里指出 首先,在页面上方4个div标签,一个嵌套个用来测试捕获和冒泡, 因为捕获和冒泡的重点是过程,而不是起点和重点,所以我只在中间的两个div small和meddiv 上绑定了事件

js 性能基准测试工具-告别可能、也许、大概这样更快更省-编程思维

平时写js经常遇到这样做是不是更快点?但又没有具体简单可测试的工具,最近也倒序看博客园司徒正美 js分类下的文章 【ps:去年灵光一闪,发现看博客园排名前100的博客、按照文章分类倒序看是学习最快的方式 O(∩_∩)O~】 看到这篇文章时 (转)Google Closure: 糟糕的JavaScript http://www.cnblogs.com/rubylouvre/archive/20

iscrolljs 看api 回顾以前开发中失误-编程思维

今天有空 细致的看看iscrolljs api 发现自己以前的几个失误是没看api造成的 失误1 页面a操作 影响了页面b的滚动条 api 解释: options.bindToWrapper The move event is normally bound to the document and not the scroll container. When you move the cu

不想说作用域scope,因为是scopetree,-编程思维

ps:本文前面大部分是错的,后边大部分也是错的,搞混了不要怪我。。。。。。。。。。。。。。。。。。。 这篇文章讲述了一个悲伤的故事,从一个似似而非的概念一步一步到错误的理解,最后勉强正确的过程 其实我本不想说我对scope的理解,因为我没写过c++,没看过脚本引擎规范,没看过js脚本引擎实现,说的也都是乱七八糟看到的加我自己猜测的,首先看一块js代码,因为这真是一块代码 <script t

prototypes in javascript 收集.__proto__-编程思维

It’s important to understand that a function’s prototype property has nothing to do with it’s actual prototype.   Javascript的每个对象均有一个原型(prototype)。当消息(请求某个属性的指令)到达某个对象时,Javascript会尝试在该对象上寻找该属性,但没有的时

js 类型转换学习-编程思维

类型转换分为显示转换和隐式转换 参考http://www.cnblogs.com/mizzle/archive/2011/08/12/2135885.html 先事件显示的 通过手动进行类型转换,Javascript提供了以下转型函数: 转换为数值类型:Number(mix)、parseInt(string,radix)、parseFloat(string)         转换为字

学习js 优先级-编程思维

以前很少关注js优先级 主要哦是技术菜鸟老加班没时间技术菜鸟 最重要的是记不住特点。。。。。。。。。。 1级 . [] () 字段访问、数组索引、函数调用和表达式分组 通过观察可以发现 . 字段访问--》读取数据 [] 数组索引--》读取数据                ps [] 这个也可以创建空数组 不知道为啥没有算进去 () 括号 分为函数调用--》读取作用域

单元测试地二蛋 先弄个两个原生模块1个原始的一个jq插件-编程思维

放羊测试测完了再测这两个瞎搞的下拉列表组建 看看从单元测试模块化的角度组建会写成啥样 1:ajax请求 简单文本     2:1个页面多个实例     3:复杂展示+自定义点击+自定义处理函数     4:延迟请求     5 插件封装 jq和reqjs     6:jsonp 支持(还未实现) jq /** * Created by qqloving on

计算页面尺寸收集-编程思维

function(){ return{ top:function(){return document.documentElement.scrollTop||document.body.scrollTop}, width:function(){return self.innerWidth||document.documentElement.clientWidth||document.bo

compass的误解与新发现-编程思维

最后个人感觉 Compass是 css世界的.NET 很久以前看到 Compass 误以为是css编译器,因为总是在看到如何安装Scss的文章里面看到的 知道最近不小心进入 Compass官网溜达,才发现 The CSS3 module provides cross-browser mixins for CSS properties introduced in CSS3, for exa

学习sass 的基本语法规则[sass和compass学习笔记]-编程思维

自从发现可编程的css语法 Sass和基于Sass的css库compass 一个给我的感觉像c# 另外一个给我的感觉像.NET Framework,一切都为了提升开发效率和降低开发大型web的门槛。 当web开发趋势迈进WebApi+Js 时代,compass和Sass 会不会成为web开发的标配?这个得实际开发检验下. 预处理 当web站点变的越来越复杂。 先是html 复杂了---

compass sprites 雪碧图 小图片合成[sass和compass学习笔记]-编程思维

demo 源码 地址 https://github.com/qqqzhch/webfans 什么是雪碧图? CSS雪碧 即CSS Sprites,也有人叫它CSS精灵,是一种CSS图像合并技术,该方法是将小图标和背景图像合并到一张图片上,然后利用css的背景定位来显示需要显示的图片部分。 compass 中为我们提供了简洁的工具和方法生成雪碧图 API 在这里 http://compass-st

@寒冬winter 大神的css作业问题-编程思维

块级元素   ①总是在新行上开始; ②高度,行高以及外边距和内边距都可控制; ③宽度缺省是它的容器的100%,除非设定一个宽度。 ④它可以容纳内联元素和其他块元素 行内级元素   ①和其他元素都在一行上; ②高,行高及外边距和内边距不可改变; ③宽度就是它的文字或图片的宽度,不可改变 ④内联元素只能容纳文本或者其他内联元素 替换元素 替换