2010年03月的文章

说说Filter JS

开了一上午的会,来讨论FilterJS上的一些东西。

公司现在有很多这种情况存在,因为应用太繁杂,前期在测试时发现了很多这样的问题。其实之前很少关注FilterJS方面的东西,对于这一块的安全问题,仅仅是在owasp的一次会议上看到过对淘宝的攻击演示。

google到了一些相关的资料,学习学习。

OWASP ESAPI for Javascript
Javascript 的输入输出,以及二次渲染问题
owasp-esapi-js
Bypassing OWASP ESAPI XSS Protection inside Javascript

记录下,感叹关注面之窄啊。最近老是感觉时间不够用,怎么回事啊

很久没写了吧

好长时间没写了,发现自从上了@twitter后,写 blog少了很多。

在twitter上问了一些朋友,大部分人都是这种情况。是不是blog以后要被围脖给取代了呢,不得而知。现在各大互联网公司都在做自己的围脖, 基本上都比较类似,域名都是t.***。还是比较期待腾讯的,主要是他的域名(t.qq.com)够短、短地址(url.cn)够牛。sina是有名人做 招牌,不知道腾讯又会走什么路线。各家都是各家的看法,不尽相同、褒贬不一。在twitter上看到,有很多人在调侃腾讯的用户有多少人知道URL是啥 呢?地址找不见了,要瞻仰原文的到twitter上去搜索下吧。

» 阅读全文