V2EX › Al0rid4l 的所有回复 › 第 17 页 / 共 19 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 9 10 11 12 13 14 15 16 17 18 ... 19

❮

❯

2022-03-28 01:01:03 +08:00

回复了 rv54ntjwfm3ug8 创建的主题 › 程序员 › 哪些大公司在用 ASP.NET Core？

这帖子里还有这么多人分不清.net 和.net core...

2022-03-27 18:11:28 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@pppan 这么多回复里就这个说到点子上了

2022-03-27 18:10:13 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

@duke807 我从来就没有说过一定要用 cookie, 我只是针对楼主的问题作出回答, 请不要把这样的观点强加到我身上
而针对你说的, 你用 refer 也可以选择是否给予服务, 的确, 但这只是你 a.com 和 b.com 私下的协议, 浏览器并不知情, 确实如你所说你自己做好判断能够保证资源不被其他站点获取, 一方面这仅仅针对 http 请求, 另一方面这样私下的协议浏览器并不知情. 当然你可能会问为什么要浏览器知情? 如果每个开发运维人员都能够很好的做好安全措施, 那这个世界的确会美好很多, 但显然不是这样的, 依靠这些判断来保证安全增大了开发和运维的心智负担, 大部分人都做不好, 而浏览器作为 web 的入口, 他选择承担让 web 更安全这样的责任, 提供了这样的机制, 是有意义的
而回到这个帖子, 我不知道为什么这么多人把目光都放在 cookie token 这样的东西上, 同源策略不仅仅是针对这些东西的, 它限制的内容很多, 而 cookie 仅仅是其中之一而已.
事实上同源策略还限制了很多 js API, 包含了跨域写, 跨域读, 跨域嵌入资源几个方面, 而限制主要体现在跨域读这件事情上, 比如 a.com 引用了 b.com 的图片, 如果没有 cors 允许, 那 a.com 页面的 js 不能读取图片的二进制内容, 而图片的二进制内容可能泄漏敏感信息, 当然这个例子可能并不能感受到, 一个图片能泄漏什么敏感信息. 但同样的, 假如 a.com 用 iframe 嵌入了网银登录页面, a.com 的 js 能够读取嵌入页面的变量, hook 里面的函数, 那显然是有问题的. 当然你也可以用 X-Frame-Options 来防止 iframe 嵌入, 但是同样地, 如前面所说, 并不是每个人都知道使用这些来保证安全, 而浏览器替他们完成了这一保障总是好的

2022-03-27 03:33:35 +08:00

回复了 wheelg 创建的主题 › 程序员 › 浏览器为什么选择了如今的同源策略

"为什么浏览器不能在检测到是 a.com 发出的请求时，不携带 b.com 网站保存的 cookie 呢？"
仅针对这一句回答, 有没有可能, 我是说可能, b.com 其实希望接受这个 cookie 呢? 你这个方案相当于假设了 b.com 不需要这个 cookie, 直接剥夺了 b.com 的选择权, 而浏览器给了 b.com 这样的选择权
很多人认为同源策略的目的是为了防止某类攻击, 是为了保护什么, 但是同源策略本身的意图真的是这样吗? 还是你们一厢情愿地这么认为? 同源策略仅仅是浏览器框架下为 a.com 和 b.com 提供了一套交互的规则, a.com 索取资源需要在这个规则下完成, 而 b.com 有权利选择是否给予, 当然这一切都是仅限于浏览器框架内. 同源策略保护了什么吗? 当然的确也在某些方面提供了保护, 但那是它全部的设计意图吗? 把同源策略的目的理解为防范攻击未免过于一厢情愿和狭隘了.
毕竟如果你真的想要不经过 b.com 的同意获取资源, 那大可以写爬虫, 但这已经脱离了浏览器框架内了, 不是同源策略要考虑的问题, 而在浏览器内, 同源策略保护了 b.com 的同时, 也给 b.com 留下了选择的权利, 而你的方案里, 显然没有给 b.com 提供任何选择的机会, 充满了独裁意味
而如果考虑有没有必要给 b.com 这样的选择, 那当然是有必要的, 当你的业务足够多, 需要多个子域名区分, 同时又希望它们之前能够有一些资源上的交互, 并且仅限于自己公司下几个域名之间而不想给其他域名获取你的资源, 那就有必要了

2021-10-04 22:10:31 +08:00

回复了 AlexRoot 创建的主题 › 问与答 › 各位有入门哲学的书籍推荐吗？

西方哲学史, 斯通普夫的
不推荐罗素的, 感觉没那么客观

2021-09-12 12:01:27 +08:00

回复了 josephok 创建的主题 › Go 编程语言 › 不要再拿 Golang 与 Java 作比较

初衷(指某种主观意愿而非客观事实
尽信书则不如...

2021-08-27 11:29:27 +08:00

回复了 opengps 创建的主题 › 知乎 › 最近比较晚睡，然后早上起来特别懒，懒到刷牙不想挤牙膏，就突然疑问：刷牙为啥非得用牙膏？

只用牙刷的话对牙齿磨损很大的, 而且牙刷清洁不到细微的凹槽, 另外就是氟了

2021-06-11 13:47:03 +08:00

回复了 tangzx 创建的主题 › 程序员 › GitLab 国内版要来了，不香么

看见国内版三个字我都 ptsd 了...还能香

2021-06-05 14:46:53 +08:00

回复了 mirone 创建的主题 › 程序员 › Milkdown，所见即所得的插件化 Markdown 编辑器

帮大佬支持一下

2021-06-02 21:02:51 +08:00

回复了 balabalaguguji 创建的主题 › 程序员 › 腾讯这个网页刷新技术怎么实现的？

ssr 吧, 因为你(Chrome)查看源代码(注意不是审查元素)的时候实际上会对当前 URL 重新发起请求, 所以后端渲染了, 但是你切换侧边栏选项, 其实还是前端渲染
这两者都可以通过查看网络请求确认

2021-06-02 20:45:43 +08:00

回复了 ufan0 创建的主题 › Android › Android 开发的入门问题：有必要应该直接学习 Jetpack 和 Flutter 吗？

看你的需求
如果只是想自己做个 App 玩, 那也许 Flutter 比较合适
如果想深入理解更多 Android 系统的方方面面, 那应该原生开发比较合适
如果指望学会了找个工作, 就比较尴尬, 如果是只招原生开发的, 那人家的要求可能会比较高需要经验比较丰富对底层机制比较熟悉的, 如果小厂只求招个人糊个 App 的, 那往往希望你一个人能把 Andriod 和 iOS 都给包了, 那最好还是得会 Flutter 或者 RN, 然而遇到坑, 你又最好还是得会原生开发. 业务变化快, 最好还得会点前端...

2021-06-02 17:37:26 +08:00

回复了 yazoox 创建的主题 › JavaScript › 调试的时候，怎么 debug 进入到第三方的 library 里面去？

先确认断点的文件是被执行的, 再确认是不是在同一个进程执行的, 不是的话需要 attach 到对应的进程调试才会进入断点

2021-05-24 20:59:17 +08:00

回复了 amrom 创建的主题 › 程序员 › 关于做面试官这件事

第一次当面试官我都在抖, 候选人给我说让我别这么紧张的😅

2021-05-24 20:39:47 +08:00

回复了 Kamitora 创建的主题 › git › 如何在一个多分支的项目中，避免因代码格式化导致的 git 冲突？

linter + git hook 呀, 不符合规范不让提交

1 ... 9 10 11 12 13 14 15 16 17 18 ... 19

❮

❯