蜗居

我们是一家媒体网站，每天都有大概1000+的原创文章，目前库里大概有100多万条数据，与地方一些站进行合作，有些ZF的毛病很多，需要屏蔽一些ZF认为违规关键字的文章。对方提供了20000+关键词，需要扫我们的库。 我现在需要做的就是把带有违规关键字的文章id取出来，story表记录简单信息，content记录了内容还有分页。 用preg_match()每百条数据需要200s+, 采用strpos() 来检...

这种方法只能在电脑上利用chrome等浏览器才可以，而且对方网站必须是https的。 但是需要有两个前提条件。首先这个域名必须存在XSS，其次这个域名必须有可以控制输出的jsonp。 假设https://shoppingxxx.sxxxxgxxx.com/ 某处有储存XSS 而且这个网站下面还有一个jsonp接口，假设是https://shoppingxxxx.sxxxxgxxx.com/app/cart1/gateway/mergeShoppingCart.do?tempCartId=&oper...

今日做项目要做自适应，需要动态的调用js和css于是研究了一下createElement方法，看了网上的许多案例都是错误的，希望在此能更正一下createElement的使用规范： 先来看看我遇到的问题： createElement问题点 我想在head标签内动态添加js和link（css），用了网上的方法都不行，于是找了html dom属性一番研究，终于看到了希望： 1 document.write(unescape("%3Cscript s...

本文转载自“乌云”因已关闭，无法奉上原文链接，请原谅。 0x00 前言 XSS 的本质仍是一段脚本。和其他文档元素一样，页面关了一切都销毁。除非能将脚本蔓延到页面以外的地方，那样才能获得更长的生命力。 庆幸的是，从 DOM 诞生的那一天起，就已为我们准备了这个特殊的功能，让脚本拥有突破当前页面的能力。 下面开始我们的续命黑魔法。 0x01 反向注入 一个不合理的标准，往...

测试环境： 在开始之前，我准备了一个简单的测试环境。使用以下命令发送电子邮件，将内容中的XSS测试有效内容管道传输到邮件中： 1 cat content | mail -a "Content-type: text/html" -s "test" [email protected] content | mail -a "Content-type: text/html" -s "test" [email protected] 然后我使用Firefox开发工具来...

Firefox 54于2017年6月13日发布。此版本中的一个重要变化是* animationcancel *事件。 从此版本开始，当动画过早中止时，CSS动画将发送* animationcancel *事件。 1 2 3 4 5 6 7 8 9 10 11 12 Example:   <style> #x{display:block} #x:target{display:none} @keyframes test {} </style>   1<span id="x" style="animation...

HTML 属性能够赋予元素含义和语境。 下面的全局属性可用于任何 HTML5 元素。   HTML 5 全局属性 NEW：HTML 5 中新的全局属性。 属性 描述 accesskey             != 规定访问元素的键盘快捷键 class                      != 规定元素的类名（用于规定样式表中的类）。 contenteditable 规定是否允许用户编辑内容。 contextmenu 规定元素的上下文菜单。 d...

全局事件属性 HTML 4 增加了使事件在浏览器中触发动作的能力，比如当用户点击元素时启动 JavaScript。 如需学习更多有关事件编程的知识，请访问我们的 JavaScript 教程。 下面列出了添加到 HTML 元素以定义事件动作的全局事件属性。 != 非HTML5中的事件属性 Window 事件属性 针对 window 对象触发的事件（应用到 <body> 标签）： 属性 值 描述 onafterprint scri...