0x00 引言 首先声明,这不是一个新洞,看过 Homakov 文章(最后附)以及译文的人想必对这种漏洞有所了解。 但原文写的太过简单(没有说明利用条件、情景和特性),且译文和我的理解略有偏差,于是就有了这篇文章。 这种漏洞已经存在一段时间了,有没有被利用过尚不得知,虽然利用条件较苛刻,但是当符合条件的站点被攻击后, 影响面和影响程度巨大,并且普通用户不知如何清除, 可导致长期持续攻击。 2014年底的时候,这种漏洞的利用条件没有现在苛刻(比如没有Service-Worker-Allowed头),一年过来
0x00 起因 不久前@三好学生师傅买了一个wooyun wifi,然后聊到了缓存投毒: 然后看到wooyun wifi的这个说明: 默认情况下该功能附带缓存投毒功能,将视图缓存所有的页面至2099年
浏览器在加载和显示网页时,会根据不同的情况,决定是否重新从服务器获取网页内容或使用缓存中的内容。缓存是指浏览器在本地存储的一些网页资源,如图片、CSS、JS等,以便于下次访问时快速加载,提高用户体验和网站性能。
MR(merge request) 想让人看,但不想对方合并,标题前缀写上:[WIP] ,注意逗号前面有空格,或 WIP: ,注意逗号前面有空格
平时在页面开发过程中,常会感觉有几个地方不太便利,例如: (1)浏览器中打开的标签页太多,调试的页面是其中的一个,感觉被淹没了,比如查看完其他网页资料,然后编辑代码,再找调试页面时就比较麻烦,得从众多标签页中寻找 (2)开发中有时需要清除浏览器缓存,但这可能影响已经打开的其他网站 (3)每次修改完代码后,需求手动刷新页面查看效果 后来我就使用单独的浏览器打开调试页面,这样可以使用 ctrl+tab 快捷键快速打开,并且清除缓存也不影响其他网页,然后使用 browsersync 来自动刷新 正好前阶段发现一个
提起Chrome扩展插件(Chrome Extension),每个人的浏览器中或多或少都安装了几个插件,像一键翻译、广告屏蔽、录屏等等,通过使用这些插件,可以有效的提高我们的工作效率;但有时候,我们想要的某个功能市面上没有现成的插件,作为开发者自然而然想到,自己是否可以动手开发一个定制化的插件?网上目前很多不错的关于Chrome插件的开发教程,可以帮助我们快速上手开发一个插件, 本文换个思路,从应用着手,通过讲解插件的特性来启发读者在工作中哪些场景可以通过插件来解决。
FeHelper简直就是前端开发人员的神器,它是由国人开发的一款前端工具集合的小插件,插件功能齐全,基本上涵盖了前端从业者经常会使用到的基础功能,使用起来也很顺手。下面就来感受一下强大的功能:
本文首发于饿了么前端——知乎专栏 大家可以点击文章底部的阅读原文来访问原文 Progressive Web Apps 是 Google 提出的用前沿的 Web 技术为网页提供 App 般使用体验的一系
JavaScript 引擎会通过向下移动 ESP(记录当前执行状态的指针) 来销毁该函数保存在栈中的执行上下文。
使用它你可以使用到许多不同的 Web 开发工具。一些最常用的包括快速清除会话 Cookie、显示元素信息、显示图像文件大小、显示地形信息和编辑 CSS。
字节码缓存(Bytecode Cache),是浏览器性能优化机制中重要的一项,通过缓存 解析(pasing)+编译(compilation)的结果,减少网站的启动时间;当前市面上主流的浏览器都实现了字节码缓存功能;
本教程说明了Chrome和Firefox的开发工具展示了什么样的工具,用于帮助用户调试PWA。
谷歌的数据表明,一个有 10 条数据 0.4 秒可以加载完的页面,在变成 30 条数据加载时间为 0.9 秒后,流量和广告收入减少了 20%。当谷歌地图的首页文件大小从 100kb 减少到 70~80kb 时,流量在第一周涨了 10%,接下来的三周涨了 25%。
前端的数据存储方式,你除了用过 Cookies、localStorage 和 sessionStorage 外,还有用过其它的存储方式么?其实除了前面提到的 3 种存储方式,目前主流的浏览器还支持 Web SQL 和 IndexedDB。
❝ 本文介绍一些与前端数据存储有关,「有趣、好玩、有用」的开源库。除此之外,还会让你掌握各种 Web 存储方案的特点,赶紧来了解一下。 ❞
离线存储可以将站点的一些文件存储在本地,它是浏览器自己的一种机制,将需要的文件缓存下来在没有网络的时候可以访问到缓存的对应的站点页面,包括html,js,css,img等等文件在有网络的时候,浏览器也会优先使用已离线存储的文件,返回一个200(from cache)头。这跟HTTP的缓存使用策略是不同的。
当域名解析的 IP 发生变化(DNS 服务器已经刷新)时,如果想立即获取变化而不关闭 Chrome,则可以手动清除一下浏览器的 DNS 缓存。
1. Local Overrides(本地覆盖加载) 2. New accessibility tools(可访问性工具) 3. The Changes tab(代码对比功能) 4. New SEO and performance audits(SEO和性能审计功能) 5. Multiple recordings in the Performance panel(性能面板多个录制) 6. Reliable code stepping with workers and asynchronous code(支持异步和worker中代码的调试)
1 H5 缓存机制介绍 H5,即 HTML5,是新一代的 HTML 标准,加入很多新的特性。离线存储(也可称为缓存机制)是其中一个非常重要的特性。H5 引入的离线存储,这意味着 web 应用可进行缓存,并可在没有因特网连接时进行访问。 H5 应用程序缓存为应用带来三个优势: 离线浏览 用户可在应用离线时使用它们 速度 已缓存资源加载得更快 减少服务器负载 浏览器将只从服务器下载更新过或更改过的资源。 根据标准,到目前为止,H5 一共有6种缓存机制,有些是之前已有,有些是 H5 才新加入的。 浏览器缓存机制
Web前端的同学是否想过学习app开发,以弥补自己移动端能力的不足?但在面对一众的选择时很多同学略感迷茫,是学习ios还是android开发?是学习原生开发、混合开发(比如:Ionic),还是使用react native或者flutter这样的跨平台框架?而app开发的学习周期长、学习成本高也让一部分人望而却步。得益于前端技术的飞速发展、浏览器性能的不断提高,使用网页技术开发出接近原生体验的应用得以变为现实,PWA就在这样的背景下应运而生。可以用自己熟悉的HTML、CSS、Javascript开发出媲美原生app的网站,不仅拥有接近原生app的流畅程度,并且具备一些原生app才有的特性,比如:a. 可以在主屏上安装应用图标,b. 离线状态下访问,c. 获取消息通知,等等。。PWA的出现让大家看到了希望!
因为工作上的需要,刚好有跨端和离线缓存的需求,就开始深入研究很早之前就关注的 PWA 技术。也刚好赶上微软、英特尔与谷歌携手举办的“第二届中国 PWA 开发者日”。有幸可以参加这次盛会,在会上,我们看到了很多新的工具和技术。
功能类似上图 实现代码: https://github.com/klren0312/cookies-chrome-plugin/edit/master/README.md
大家肯定有这样的经历,浏览网页的时候,左右两端广告,诸如“屠龙宝刀,点击就送”,以及最近火的不行的林子聪37传奇霸业什么“霸业面具,霸业吊坠”的魔性广告总是充斥我们的眼球。 当然有现成的扩展程序或者插件(两者概念稍有不同)可以清除页面广告,但是既然身为一名程序猿,尤其是FEDer,为什么不尝试一下自己写一个清除广告的扩展程序呢。其实,编写一个浏览器扩展程序十分简单,尤其是chrome扩展,可以完全使用前端技术(HTML/CSS/JS)完成一个自己编写的扩展程序。让我们一步一步,学习一下如何编写一个简单的清除
在mac os系统上我们安装程序会用到Homebrew,它是一个包管理工具,相当于linux系统下的yum
有一个困扰 web 用户多年的难题——丢失网络连接。即使是世界上最好的 web app,如果下载不了它,也是非常糟糕的体验。如今虽然已经有很多种技术去尝试着解决这一问题。而随着离线页面的出现,一些问题已经得到了解决。有一个叫做 APP Cache 的 API 可以提供离线体验,但它的问题比较多。最重要的问题是,仍然没有一个好的统筹机制对资源缓存和自定义的网络请求进行控制。
网络传输,逻辑上是在传输二进制字节流。浏览器在拿到字节流之后,会先根据资源的编码方式(如UTF-8)进行解码,将字节流转化为字符流。 一串 HTML 的字符流,需要经过语法解析,形成节点后,最终生成 DOM 树。
前言——几日前,我那上初中的妹妹突然发VX问我说她想复制网上搜到的一些朋友圈文案拿去发朋友圈,但是问题是复制不了!
Service的意思是服务,Worker的意思是工人,那么Service Worker的意思就是服务员。这个员工是2014年6月HTML5新招的实习生,目前在试用中。在此之前,已经有一位老员工,它叫Web Worker。那么问题来了,Boss是谁?Boss就是浏览器。准确来说,每个页面的javascript运行主线程都是一个Boss。
1 H5 缓存机制介绍 H5,即 HTML5,是新一代的 HTML 标准,加入很多新的特性。离线存储(也可称为缓存机制)是其中一个非常重要的特性。H5 引入的离线存储,这意味着 web 应用可进行缓存,并可在没有因特网连接时进行访问。 H5 应用程序缓存为应用带来三个优势: 离线浏览 用户可在应用离线时使用它们 速度 已缓存资源加载得更快 减少服务器负载 浏览器将只从服务器下载更新过或更改过的资源。 根据标准,到目前为止,H5 一共有6种缓存机制,有些是之前已有,有些是 H5 才新加入的。 浏览器缓存机制
install 事件回调中有两个方法: * event.waitUntil():传入一个 Promise 为参数,等到该 Promise 为 resolve 状态为止。 * self.skipWaiting():self 是当前 context 的 global 变量,执行该方法表示强制当前处在 waiting 状态的 Service Worker 进入 activate 状态。 * 安装后( installed ):Service Worker 已经完成了安装,并且等待其他的 Service Worker 线程被关闭。 * 激活( activating ):在这个状态下没有被其他的 Service Worker 控制的客户端,允许当前的 worker 完成安装,并且清除了其他的 worker 以及关联缓存的旧缓存资源,等待新的 Service Worker 线程被激活。
最近远程协助用户解决了浏览器的 NET::ERR_CERT_DATE_INVALID 异常,过程中了看到了这篇总结的不错的英文文章,遂翻译了与大家共享。
DNS 缓存是一个临时数据库,用于存储有关以前的 DNS 查找的信息。换句话说,每当你访问网站时,你的操作系统和网络浏览器都会保留该域和相应 IP 地址的记录。这消除了对远程 DNS 服务器重复查询的需要,并允许你的 OS 或浏览器快速解析网站的 URL。
最近一段时间,连续遇到了两次跟重定向相关的问题,本着知己知彼百战百胜的态度,我决定深入了解一下,顺便跟大家分享一下。 加入我们一起学习,天天进步 作为前端开发,大家对重定向一定不陌生,不就是永久重
大家知道,Vue2.x之后,Vuex状态管理是必须要掌握的一个技术点,今天北妈先介绍下Vuex是什么,然后在介绍几个封装好的操作本地缓存、状态的几个组件,需要的童鞋赶紧拿走,可能有很多人已经再用了,并不是什么高大上的东西,只是让更多的人能加快开发的效率。
1. 问题描述 HTTP响应码301表示永久转移,开发者在网站测试过程中应该尽量避免使用301永久跳转,而是使用临时转移码302,如果不慎使用了301跳转,则Chrome浏览器会本地缓存该永久跳转,当Chrome浏览器下次访问该网址时,并不会向该网址发送HTTP请求,而是使用本地301缓存,直接访问跳转后的网址。而此时如果想让跳转前网址直接响应200而不是301已经不行了,按照常规的缓存清理方法无法清除301缓存,对网站开发造成了干扰。本文将介绍一种清除301缓存的方法。 2. 如何清除3
陌涛在调试(80端口跳443)。开了强制HTTPS。然后我关了强制。还是一直跳转到https。访问http自动强制变成https(没开https。所以会打不开)。开个隐私模式或者别的没访问过浏览器就不会。
俗话说chrome没有插件只有四成能力,可见插件才是chrome的牛逼之处。 前提:要想直接使用Google的应用商店需要先本地添加: 谷歌访问助手插件:(下载地址)http://www.ggfwzs.com 大众常用的插件列表如下: 1、扩展管理器:Extension Manager 相对比较简洁的一款管理工具:能管理你下载的所有插件,在下载前先搞它,方便管理。 2、广告拦截:AdBlock 拦截广告还可以。平时看网站比较规矩所以基本用不上,你懂的。 3、多点高亮查找:Multi-highlight 空格
最近看到的一段话很有感触,日复一日的低效率工作只会消磨你的热情,而巨大的时间成本会让你错失很多机会。
首先需要在服务器上建立一个文件,里面的内容确定了哪些文件需要缓存,哪些文件不需要,如果资源无法访问会使用什么页面等
TensorFlow.js是一个基于deeplearn.js构建的强大而灵活的Javascript机器学习库,它可直接在浏览器上创建深度学习模块。使用它可以在浏览器上创建CNN(卷积神经网络)、RNN(循环神经网络)等等,且可以使用终端的GPU处理能力训练这些模型。接下来我们将学习如何建立一个简单的“可学习机器”——基于 TensorFlow.js 的迁移学习图像分类器。
一言以蔽之,ZanProxy 是一个基于 Node.js 的代理服务器。它专注于帮助前端开发提高开发效率。
在爬虫调试的时候一个良好的调试习惯,正确的调试技巧。绝对能让您在抓包,定位及JS解密与JS逆向等各种方面事半功倍。
内存泄漏是一个累积的过程,只有页面生命周期略长的时候才算是个问题(所谓“刷新一下满血复活”)。频繁交互能够加快累积过程,偏展示的页面很难把这样的问题暴露出来。最后,JS逻辑相对复杂才有可能出现内存问题(“bug多是因为代码量大,我自己都hold不住”),如果只是简单的表单验证提交,还没什么机会影响内存
领取专属 10元无门槛券
手把手带您无忧上云