本文目录一览:
- 1、前端开发工具有哪些
- 2、急急急 tp5.1输出原html标签?
- 3、php接收到["1009","1007"]这个字符串怎么转成1009,1007或者数组
- 4、前端可视化开发要用到哪些工具、插件?
- 5、为什么要同源策略
前端开发工具有哪些
前端开发工具是开发必不可少的,现在的开发工具功能很强大,但是还是有一些不同,下面详细介绍一下,看看哪款适合你
HBuilder
HBuilder工具是支持一些html和js等开发,主要编写一些c和web等语言,最大的优势就是速度比较快,强大的代码提示和代码输入,大大增加了开发者的开发效率。
Sublime Text
编辑器里边支持emmet比较好的的唯一一款。多功能插件,还可以自定义键绑定,功能有很多,包括多选择和多窗口和python api等功能,为开发者提供了开发方便。
webstorm
js开发工具,web前端开发神器,功能十分强大,界面清晰,人性化设计,使用方便。
所有编辑器里边唯一内置emmet的一款,并且将emmet的精神往前推动的一款。
phpstorm
测试后端 API 接口时非常好用。GET、POST、DELETE、OPTIONS、PUT 这些方法都支持。
idea
phpstorm、idea包括所有webstorm的功能。只是phpstorm是针对phper的,idea是针对javaer,webstorm针对前端er。
Prettier Playground
代码格式化工具,支持格式化 JavaScript 代码,包括 [ES2017]、[JSX]、[Angular]、[Vue]、[Flow]、[TypeScript] 等。
IDE 大多支持 Prettier 工具, 也有在线版本,可以在浏览器里格式化代码。
Dreamweaver
Dreamweaver是一款网页代码编辑器,利用一些前端代码对网页进行快速的开发,可以通过智能搜索引擎对网页进行访问,开发者可以直观的开发减少出现的错误。
急急急 tp5.1输出原html标签?
使用vue中的v-html指令,否则会因防止xss攻击不渲染html标签
解决方法如下:
1、双大括号会将数据解释为普通文本,而非 HTML 代码。为了输出真正的 HTML,你需要使用 v-html 指令:
pUsing mustaches: {{ rawHtml }}/ppUsing v-html directive: span v-html="rawHtml"/span/p
2、建议去查看vue的相关的文档,这些东西需要前端做,和tp没有关系的
php接收到["1009","1007"]这个字符串怎么转成1009,1007或者数组
你要先把html实体(即 quot;)转换为字符(即双引号)再来解析json:
$id=stripslashes(html_entity_decode($id));
print_r(json_decode($id));
前端可视化开发要用到哪些工具、插件?
ThingJS 基于 HTML5 和 WebGL 技术,可方便地在主流浏览器上进行浏览和调试,支持 PC 和移动设备。ThingJS
为可视化应用提供了简单、丰富的功能,只需要具有基本的 Javascript 开发经验即可上手。
ThingJS
提供了场景加载、分层级浏览,对象访问、搜索、以及对象的多种控制方式和丰富的效果展示,可以通过绑定事件进行各种交互操作,还提供了摄像机视角控制、点线面效果、温湿度云图、界面数据展示、粒子效果等各种可视化功能。
ThingJS提供如下相关组件和工具供用户使用:
CityBuilder:聚焦城市的 3D 地图搭建工具,打造你的 3D 城市地图。
CamBuilder:简单、好用、免费的 3D 场景搭建工具。
ThingPano:全景图制作工具,轻松制作并开发全景图应用,实现 3D 宏观场景和全景微观场景的无缝融合。
ThingDepot:上万种模型,数十个行业,自主挑选,一次制作多次复用。
为什么要同源策略
一个重要原因就是保护cookie,cookie中存着用户的登陆凭证,就相当于用户的账号密码。
想象以下场景,你正吃着火锅唱着歌,突然收到一封邮件说你的银行账号存在安全隐患,点击修复。虽然银行的官方网站是,但是想到你的全部家当24块3毛都在卡里,慌乱的你没有注意这么多点击链接输入帐号密码进行登陆。这个网站其实是
iframe src=""
在你输入帐号密码的时候,如果没有同源策略,外部已经有脚本获取你的输入或者直接通过document.cookie窃取了你的信息并且发送给攻击者了。
那有了同源策略,是不是我们的网站就万无一失了呢。并不是,还有很多其他手段威胁到网站安全,比如xss,csrf,clickJacking,本篇文章就简单阐述一下他们的攻击手段和基础攻防(后续添加)。
xss
Cross Site Script,译为是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而被迫改名为 XSS。主要分为反射型和储存型。
反射型
反射型的特点是不持久,它的特点是xss的代码出现在访问的链接里,作为一部分输入提交到服务器,然后服务器响应后返回浏览器,然后浏览器执行xss的代码。
一般攻击者通过邮件或者其他途径发送链接,用户点击之后达到攻击目的。
储存型
存储型和反射型的差别仅在于他的攻击代码会存储到服务器。这种攻击的最典型例子就是博客论坛的留言功能,访问包含这条留言的页面时,就会触发攻击代码。
比如某个论坛的个人中心里的个人简介,我们就可以在里面尝试注入代码进行练习,先来测试可用的标签
scriptapimgbodybuttonvardiviframemetaobjectmarqueeisindex inputselectkeygenframesetembedsvgmathvideoaudiotextarea
发现只有a标签存活下来,再来测试属性
a href onmouseover onclick
xss存在的主要原因在于没有对于用户的提交内容和接口的返回内容没有进行严格的过滤。
而防止xss的主要手段也是对输入和url参数进行过滤,对输出进行编码,还有就是cookie设置http-only。像常用的vue就有
const decodingMap = {
'': '',
'': '',
'"': '"',
'': '',
'
': '\n',
' ': '\t',
''': "'"
}
来对输入进行进行过滤,还有百度中输入scriptalert(1)/script也会被转译成scriptalert(1)%2Fscript。
至于http-only,严格来说没有阻止攻击,只是阻止了攻击后的cookie劫持。