php怎么加判断弹窗

1、php怎么加判断弹窗，零基础怎么开始学计算机？

“不忘初心·感恩新华”第十二届荣誉校友母校行盛大举行

2020年7月30日，天空淅沥淅沥的下着小雨，却阻挡不住校友返回母校的热情，15名来自不同行业、不同身份、不同专业的新华荣誉校友重返母校，一袭素衣烟雨中，忘却各自领导的身份，齐聚四川新华电脑学院，共叙友情、同感师恩。

昔日学子，今日企业中流砥柱

毕业后，他们在各行各业勤奋工作，努力拼搏。多年来他们不忘母校恩情、持续关心支持学校发展，为感念师恩，激励学弟，多次以各种形式捐赠回馈母校。

现如今，他们有的是自主创业的公司老总，有的是知名企业的中流砥柱，但他们始终都有一个共同的名字—新华人。今天，他们带着光环和荣耀重回母校，同学们以饱满的精神迎接杰出学子的到来，学校特意为荣耀回归的学子们准备了鲜花和红毯，既表达了对他们荣耀回归的热烈欢迎，同时也表达了母校对学子的关心。在我院校领导的陪伴下，校友们依次走上红毯，走到象征着荣誉签到墙前面，在四川新华签到处签上属于自己的签名，老师们依次为校友们戴上象征着荣耀的花环。高贵的红地毯、明艳的花环、鲜艳的花束...这一切都是母校对学子们走向更加辉煌的美好祝愿。

院长赞许荣誉校友人生的榜样，学习的标杆

曾经他们以学院为荣，今天学院以他们为骄傲。庆典一开始吴院长首先对荣誉校友表达了热烈的欢迎，他说：“欢迎各位校友回到母校，非常感谢你们百忙之中走进熟悉的校园、走进学弟学妹的身边、与他们畅想知识的奥秘、探索人生的轨迹与未来，学院的发展离不开你们努力。”对荣誉校友表示赞许，并对在校生进行了鼓励，希望同学们能将他们当作人生的榜样，成功的标杆。

荣誉校友上台领奖

毕业多年，我们的荣誉校友们在社会的大熔炉中历练成长，饱尝创业、就业的艰辛，经历生活的考验，一路走来，他们从容而豪迈。在创业时一直谨记新华人应有的精神，如今，他们中众多的同学已活跃在不同的行业领域，其中不乏崭露头角的佼佼者。成为我院学弟学妹们的榜样，为此学院特为荣誉校友们颁发了“就业之星”与“创业之星”的荣誉奖杯及奖品。

校友帮扶助学基金启动仪式

为鼓励学生创业，促进学生就业，提升新华学子就业竞争力，杰出校友们用实际行动回馈母校，为母校带来了20万元校友会助学金。在万众瞩目下，荣誉校友与学院学子一对一帮扶项目进行了签约授牌。

无论岁月如何变迁、时代怎样更替，永远不变的是母校和学子间相互牵挂和难以割舍的情结。相信在学长学姐们的支持下，在学校的帮扶下，同学们的路将会更加顺畅，未来也将谱写更加绚丽的篇章！

学生代表在发言中表示，如今的四川新华，已走在了互联网时代的前沿，所配备的设施够强、够硬、够先进，与过去相比，有了腾飞式的发展。师弟师妹们会以学长们为榜样，不负青春不负未来。今天，我以新华为榜样，未来，必让新华以我为荣！

荣耀与光环·校友访谈录

回首往昔，翻开那本尘封已久、曾经走过青葱岁月的相册，感怀岁月的同时也被老师们的细心所感动，这些照片记录着昨日的点点滴滴，追忆着他们的金色年华。

阔别学校虽然年景不长，但他们已从翩翩少年成长为了社会栋梁，而母校也在他们离开的岁月中发生了巨大变化。“今天有幸和学弟学妹在一起交流，大家既然选择了四川新华，就要把握机会，把技能学扎实。360行行行出状元，爱我所选，选我所爱，将来的你一定会感谢今天努力的自己。在学校每一天都要稳扎稳打，按照老师的要求，严格要求自己，培养各方面能力，相信你们会比我更出色，更优秀。”作为学长的黄鹏，现在已经是四川生意者企业营销策划有限公司创始人兼总经理，他细心的嘱咐着学弟学妹们。

成都菡萏怡景装饰设计有限公司高级设计师易佳丽，在经验分享中表示：作为曾经新华的一员，我们将一如既往，为学校的发展贡献自己的力量。我们也非常关注学弟学妹的成长和学习，为在校学生们提供更好的创业平台和学习环境。同时校友会今天还为学生带来了助学基金，助力母校发展壮大。

感恩母校·荣誉属于新华

在荣誉校友的陪伴下，吴院长走上舞台，代表四川新华电脑学院接受荣誉校友们的感恩回馈。校友会商会授牌、校友会助学基金会捐赠、代表荣誉锦旗的赠送、创业项目入驻、千人帮扶一对一帮扶计划……这一切都代表着学子对母校的感恩之情和学弟学妹们的美好祝愿。

（校友会商会成立）

（成功学子赠送锦旗）

从青涩到成熟，从懵懂到事业有成，在四川新华学习的日子里，有欢笑、有泪水、有拥抱……曾记否，恰同学少年，书生意气，挥斥方遒!还好，岁月并不苛刻，让每个同学从意气风发的青葱年少蜕变的更加睿智沉稳。

聚不是开始，散不是结束，逝去的青春，永存的友谊，让你我铭记，生命中有你，期待下一次美好的相聚！四川新华荣誉校友会在掌声中圆满结束!祝愿万千新华毕业生，此去经年，愿你们不忘初心，归来仍是少年！鲲鹏一朝乘风起，扶摇直上九万里，未来由你们开拓！

2、一般人可以操作linux吗？

当然可以。日常办公娱乐，无非是office三件套，上网，看视频，这些在linux下都有替代方案。现在linux界面操作也比以前更加友好，完全没问题，除非你是游戏重度玩家或财务人员。

界面操作

和win、mac一样，只是个操作系统而已，以前的linux用户界面并没有win和mac的友好，上手相比win可能难一些，现在linux用户体验已经非常不错了，界面上的操作其实大差不差，在win下操作熟悉的人，上手现在的linux一般没多大区别，而且有些发行版的linux的界面，与win长得很像了，比如下面这些

非要追求win的效果的话，也可以找人帮忙设置下，不过自己研究的玩还是蛮好的。

软件

linux版的软件也是层出不穷，软件管理中心的软件也是很全面，能满足日常正常办公，当然你要和win比软件数量，那没必要比。

大部分linux都是有应用中心，或叫软件中心、软件市场、应用商店，应用市场，就是类似的名字相互捣鼓，像下面的这个一样

一般人用户用这些足够了，开发者一般会用apt-get或yum（不同发行版不一样）安装，或下载源码，或下载deb、rpm包来安装，想折腾的话，找到你适合安装的发行版的安装方式，操作一遍就知道个大概了。

但对于游戏软件，win还是蛮多的，因为经常与代码打交道，没太关心linux的游戏以及它的体验。

系统升级

这个在linux来说很简单，以ubuntu为例，在终端输入下面两条命令：

sudo apt-get update

sudo apt-get upgrade

两条命令解决，额，基本更新都用这两条命令，没用过界面版的，也不知道界面版的有没有更新按钮。

不同发行版的更新时间还是不太一样的，新装软件的时候更新一次就可以。

安全与性能

对于一般用户这两个指标可以不必太去操心，相比win，linux有着非常大的优势。漏洞肯定有，只要人写的东西，不会不存在漏洞的，永远也没有堵住的那一天。

兼容性

软件兼容性

先说win里的office或ps，linux都有相应的替代品，开发人员还说，很多工具都是支持三大系统的，当然偶尔会出点感冒，比如Sublime在ubuntu下不支持中文输入，很是恼火，其它系统没测过，不知道支持的怎么样。

硬件兼容性

总的来说，买些大品牌，常见的品牌，硬件兼容性几乎不是太大的问题

1、linux对硬件兼容性的支持

基本上有商业公司的支持的发行版，对硬件支持会比较好。

2、硬件厂商对linux兼容性的支持

一般来说，越是自己“攒”的，对主流操作系统的兼容性越好，定制的反而越差。越是最新出的硬件，兼容性越差，甚至不兼容。

您要是买了一款最新的，发烧级的硬件，拜拜了您呐。

网银

这个貌似只支持部分linux发行版，没太用这块，如果你是财务专业的，可能要费点心思在上面，有些linux发行版是用不了的。

3、大学生的电脑里应该必备的软件是什么？

Cortana

Cortana是Win10系统自带的智能语音助理，它主打使用对话的方式，来解决你在使用电脑过程中遇到的问题。

但Cortana我用得最多的一个功能是搜索，它可以用来搜索电脑中的文件、电子邮件或其他本地应用，整体搜索速度较快。

如果你的任务栏没有Cortana搜索框，这是因为搜索框被隐藏了，打开搜索框的方法也很简单：

在任务栏右击鼠标，找到Cortana，选择显示Cortana图标或显示搜索框都可以。

②Listary

Listary，这是一个第三方文件搜索工具，搜索速度比Windows自带的搜索要快很多。

安装完软件后，在任意场景下，连续敲击两下键盘的Ctrl键，Listary的文件搜索框就会出现。

除了文件搜索功能，Listary还可以实现在特定网站中搜索关键词。

以关键字bd为例，我想在百度搜索关键词一周进步，这时我只需要在Listary搜索框中，输入bd 一周进步（注意：bd与一周进步之间有个空格），按下回车，就会跳转到浏览器，使用百度搜索一周进步。

此外，Listary还有一个好用的功能：快速定位到特定文件夹。

当你在PS使用另存为导出图片时，你会发现，导出窗口下方多了一个Listary的搜索框，此时在搜索框中输入文件夹名称，就可以快速定位到图片拟存放的文件夹，节约了导出图片时到处寻找导出位置的时间。

02.社交沟通

TIM

说到社交沟通，正在上大学的各位，可能还少不了使用QQ来作为通讯工具。

相比微信，QQ有一些值得称赞的优点，如文件保存时间更长、支持聊天记录漫游功能、可通过QQ群向群成员群发邮件等。

但是，另一方面，QQ也是一个商业化气息更重的产品，具体表现为：桌面右下角的频繁弹窗。如果你受够了QQ的各种干扰，不妨试用一下今天推荐的这个软件——TIM。

TIM，是由腾讯推出的办公简洁版QQ，可以使用原有QQ账号进行登录。

区别于QQ，TIM更适用于办公协作等场景，保留了QQ的基本功能，增加了在线文档、日程管理等办公功能，让你更专注于处理相关事务。

03.学习软件

①CAJViewer

上大学之前，你对中国知网的概念，可能也是处于“知网是什么东西”的状态。

但上了大学之后，或早或晚，你迟早都会被迫认识中国知网，因为你免不了要写论文。

从中国知网下载的参考文献，其格式大多为CAJ，打开这种非通用格式的文件，需要下载专属的阅读器——CAJViewer。

CAJViewer支持的文件格式有：TEB、CAJ、NH、KDH和PDF。

说到CAJViewer，不得不吐槽它陈旧的界面设计，如今都9102年了，但是没办法，论文要写，丑也要硬着头皮用。

②NoteExpress

NoteExpress，是一个文献检索与管理软件，支持Windows、iOS和Android。

这里我想重点介绍它的参考文献引用功能，它可以让你在写论文的过程中，一键生成引用观点的参考文献，并且会根据前后插入的参考文献，自动调整文献的编号。

大多数同学都是使用Office或WPS进行论文的写作，NoteExpress为这两个软件开发了相应的插件。

安装完NoteExpress，你的Word软件里面会增加一个NoteExpress的选项卡，如下图所示：

当你的论文引用到某一篇文献的观点时，将鼠标放到引用的位置，点击NoteExpress选项卡中的转到NoteExpress，就会从Word跳转到NoteExpress中，选择引用的文献，点击引用，软件就会自动完成文献的引用。

NoteExpress默认的参考文献格式不符合通用的学位论文规范，因此这里需要修改其默认样式，修改方法为：

点击NoteExpress选项卡的格式，选择其它样式，在弹出的快速查找窗口中，搜索关键字2015，选择返回结果中的“中华人民共和国国家标准_GBT_7714-2015格式化文档”即可。

此外，使用NoteExpress添加参考文献，还会遇到一个小问题，就是添加的参考文献底部会有一个烦人的校对报告。

去除校对报告的方法也很简单，点击NoteExpress选项卡的格式化按钮，在弹出的面板中，取消生成校对报告的勾选即可。

NoteExpress下载地址：

http://www.inoteexpress.com/aegean/index.php/home/ne/index.html

③Evernote

Evernote是一个笔记软件，关于Evernote的使用技巧，可以看一周进步之前发布过的文章。

Evernote最为方便的地方在于，它可以保存你在各种平台上看到的内容，这些平台包括但不限于微信、微博、知乎及各种网页等。

将各个平台的内容保存到Evernote后，你可以对内容进行分类管理、打上标签，后续当你想看之前保存的内容时，可以使用软件内置的搜索功能进行检索。

与Evernote类似的工具，还有有道云笔记和为知笔记，感兴趣的同学可以自行前去下载体验。

④幕布

幕布是一个轻量级的思维导图软件，支持多个平台，有网页版和桌面版，覆盖iOS、Android、iPad和微信。

思维导图，适用于多种场景，可以用来制作读书笔记、拟写文章大纲和待办清单等，看着一条条信息以一种更有条理的方式组织在一起，有时给了我一种极大的满足感。

与幕布类似的思维导图工具，还有Xmind和百度脑图。

03.文档办公

①OneDrive

这是微软出品的云存储产品，与百度网盘有些类似，前身叫SkyDrive，后改名为OneDrive。

说到OneDrive，我想重点介绍它与Office三件套组合使用时的一个功能：实时保存。

以PPT文档为例，当你把PPT放在了OneDrive的文件夹中，PPT左上角的自动保存按钮就会处于开着的状态，这时，当你对PPT进行一次编辑操作后，它就会实时保存你的每一步操作。

这样一来，你可以更好地预防办公过程中突发的各种情况，如断电、电脑死机等，防止扑街。

Win10系统自带了OneDrive，使用Win10系统的同学无需再次下载OneDrive，而使用Win7或Win8的同学，则需要从网上下载软件进行安装。

由于OneDrive官网被屏蔽，导致不能从官网下载OneDrive，这里提供一个从第三方网站下载软件的地址：

https://pc.qq.com/detail/0/detail_22240.html

②iSlide

不管是学生群体，还是踏入职场的社会人，PPT一直是许多人都避不开的话题。

如果你没有接受过珞珈老师硬核训练营的洗礼，但又想在短时间内做出好看的PPT，iSlide或许是你最好的选择。

iSlide是Windows上的一款PPT插件，插件内置了多种资源，包含PPT模板、配色参考、智能图表、矢量图形和无版权图库，可以说考虑到了PPT制作的各个方面。

③Piti

说到PPT插件，怎么能少了我司出品的Piti插件？

Piti插件内置了高质量的PPT模板库，只需要在指定的文本框中输入页面内容，就可以智能生成PPT的各个页面，如封面页、目录页、过渡页、内页和结尾页，满足制作不同风格PPT的需求。

此外，Piti插件还内置了15中好看的艺术字，不同于PPT自带的“过时”艺术字，这15种艺术字符合主流审美，包含抖音字、金属字和立体字等，绝对不是五毛钱特效。

Piti插件下载地址：https://www.piti.fun/

④万彩办公大师

在平时写文档的过程中，我们可能会经常遇到文档格式转换的场景，但市面上大多的格式转换工具，要么需要付费，要么免费但有各种限制。

而万彩办公大师，可以说是众多格式转换工具中的良心之作，软件包含了PDF转换、格式转换、图片处理、OCR识别和屏幕录制等工具，60+工具集合于一身，而且最为难得的是，这些工具都是完全免费的。

万彩办公大师下载地址：http://www.wofficebox.com/

04.影音娱乐

①Potplayer

说到影音娱乐，有些朋友可能会最先想到电影、电视剧等。

我想给大家介绍一个非常好用的视频播放软件——Potplayer，不同于国内的某风影音，Potplayer是一款纯粹的播放器，没有各种广告。

Potplayer的功能较为强大，支持多种字幕文件和编解码器等。对于Potplayer，我经常使用的功能有倍速播放，通过分别敲击键盘的Z键、X键和C键，可以实现视频的正常速度播放、减速播放和加速播放，加速播放最高支持12倍速。

Potplayer下载地址：https://potplayer.daum.net/?lang=zh_CN

②Listen1

说到听音乐，我又不得不安利被提到过很多遍的Listen1。

Listen1，是一个第三方音乐曲库聚合工具，包含网易云音乐、虾米音乐、QQ音乐、酷狗音乐、酷我音乐、哔哩哔哩和咪咕音乐曲库。

拥有Listen1，就可以实现只安装一个软件，听多个音乐软件的歌，省去了来回切换于多个音乐软件间的麻烦。

Listen1下载地址：http://listen1.github.io/listen1/

05.文件压缩

对文件进行压缩和解压，也是我们在使用电脑时经常会用到的操作。

这里我想给大家推荐一个免费简洁的压缩软件：Bandizip，支持Windows和Mac系统，支持多种常见的压缩和解压格式，如RAR、ZIP, 7Z等。

当你安装了Bandizip，在鼠标右键的刷新菜单中，顶部会新增一个新建文件夹的选项，这可以减少当你想要新建文件夹时，需要进入二级菜单的操作。

Bandizip下载地址：http://www.bandisoft.com/bandizip/

06.系统清理

对于Windows用户来说，电脑垃圾清理一直是跨不过去的坎。虽然市面上有很多主打垃圾清理的管家软件，但它们提供的功能过于冗余，显得有些笨重。

这里给大家推荐一个专门用于清理垃圾的软件——CCleaner，支持Windows、Mac和Android三个平台。

在CCleaner中，你可以像其他管家软件那样，使用常规的手动方式来清理垃圾，也可以通过开启智能清理，让软件自动为你清理指定软件中的垃圾。

除了用于清理垃圾，CCleaner还内置了一些额外的功能，如清理注册表、卸载软件和设置软件自启动等。这里需要提醒一下，使用清理注册表清理功能需谨慎，避免翻车。

CCleaner既有免费版，也有付费的商业版，大家可根据自己的需要进行选择。

CCleaner下载地址：https://www.ccleaner.com/

07.护眼工具

长时间观看电脑屏幕，这似乎是每个人都会面临的共同问题。

除了佩戴防辐射眼镜，我们还能通过安装一些软件，如EyeCare，从源头处减少电脑对眼睛产生的辐射。

EyeCare是一个功能简洁的护眼软件，可以调节屏幕的亮度和蓝光强度。蓝光强度越低，屏幕会呈现为暖色，类似于Windows自带的夜间模式，更少的蓝光适合深夜观看视频等场景。

此外，你还可以使用EyeCare来设置定时休息的提醒，通过设置合理的休息时间，来强迫自己离开一下久坐的电脑桌前。

08.文件预览

Seer，是一个模仿Mac系统下通过空格键来预览文件的工具。使用方法非常简单，用鼠标单击要预览的文件，按一下空格键，Seer就会快速打开文件的预览窗口。

*使用Seer预览svg格式的文件

Windows系统虽然自带了文件预览功能，但对于一些特殊的文件，如文件夹、PSD格式文件等，其预览功能还是显得捉襟见肘。

而Seer则非常强大，它支持对多种文件格式进行预览，支持多种文本、图片、视频、压缩包等文件格式。

这里需要划一下重点，Seer支持对psd、ai和svg格式的文件进行预览。这样一来，下次你想预览这些文件时，就不用等待漫长的打开软件的时间了。

Seer下载地址：https://sourceforge.net/projects/ccseer/

09.写在最后

“工欲善其事，必先利其器”，我们每天都在使用的电脑，毫无疑问成为了这个时代最重要的生产力工具，用对且用好一个软件，它们帮我们创造的价值，或者帮我们省下的时间，日积月累下来，也是一种宝贵的财富。

4、常见的web安全漏洞有哪些？

前言：

在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？本文主要侧重于分析几种常见的攻击的类型以及防御的方法。

一、XSS

XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和 CSS重叠，所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。

跨站脚本攻击有可能造成以下影响:

利用虚假输入表单骗取用户个人信息。利用脚本窃取用户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求。显示伪造的文章或图片。

XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。

1.非持久型 XSS（反射型 XSS ）

非持久型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。

举一个例子，比如页面中包含有以下代码：

<select> <script> document.write('' + '<option value=1>' + location.href.substring(location.href.indexOf('default=') + 8) + '</option>' ); document.write('<option value=2>English</option>'); </script> </select>

攻击者可以直接通过 URL (类似：https://xxx.com/xxx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。不过一些浏览器如Chrome其内置了一些XSS过滤器，可以防止大部分反射型XSS攻击。

非持久型 XSS 漏洞攻击有以下几点特征：

即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。攻击者需要诱骗点击,必须要通过用户点击链接才能发起反馈率低，所以较难发现和响应修复盗取用户敏感保密信息

为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情：

Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。尽量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.createElement() 等可执行字符串的方法。如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。前端渲染的时候对任何的字段都需要做 escape 转义编码。

2.持久型 XSS（存储型 XSS）

持久型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如文章留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。

举个例子，对于评论功能来说，就得防范持久型 XSS 攻击，因为我可以在评论中输入以下内容

主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，referer，forms 等，而是来源于后端从数据库中读出来的数据 。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。

攻击成功需要同时满足以下几个条件：

POST 请求提交表单后端没做转义直接入库。后端从数据库中取出数据没做转义直接输出给前端。前端拿到后端数据没做转义直接渲染成 DOM。

持久型 XSS 有以下几个特点：

持久性，植入在数据库中盗取用户敏感私密信息危害面广

3.如何防御

对于 XSS 攻击来说，通常有两种方式可以用来防御。

1) CSP

CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP：

设置 HTTP Header 中的 Content-Security-Policy设置 meta 标签的方式

这里以设置 HTTP Header 来举例：

只允许加载本站资源

Content-Security-Policy: default-src 'self'

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

允许加载任何来源框架

Content-Security-Policy: child-src 'none'

如需了解更多属性，请查看Content-Security-Policy文档

对于这种方式来说，只要开发者配置了正确的规则，那么即使网站存在漏洞，攻击者也不能执行它的攻击代码，并且 CSP 的兼容性也不错。

2) 转义字符

用户的输入永远不可信任的，最普遍的做法就是转义输入输出的内容，对于引号、尖括号、斜杠进行转义

function escape(str) { str = str.replace(/&/g, '&') str = str.replace(/</g, '<') str = str.replace(/>/g, '>') str = str.replace(/"/g, '&quto;') str = str.replace(/'/g, ''') str = str.replace(/`/g, '`') str = str.replace(/\//g, '/') return str }

但是对于显示富文本来说，显然不能通过上面的办法来转义所有字符，因为这样会把需要的格式也过滤掉。对于这种情况，通常采用白名单过滤的办法，当然也可以通过黑名单过滤，但是考虑到需要过滤的标签和标签属性实在太多，更加推荐使用白名单的方式。

const xss = require('xss') let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>') // -> <h1>XSS Demo</h1><script>alert("xss");</script> console.log(html)

以上示例使用了 js-xss 来实现，可以看到在输出中保留了 h1 标签且过滤了 script 标签。

3) HttpOnly Cookie。

这是预防XSS攻击窃取用户cookie最有效的防御手段。Web应用程序在设置cookie时，将其属性设为HttpOnly，就可以避免该网页的cookie被客户端恶意JavaScript窃取，保护用户cookie信息。

二、CSRF

CSRF(Cross Site Request Forgery)，即跨站请求伪造，是一种常见的Web攻击，它利用用户已登录的身份，在用户毫不知情的情况下，以用户的名义完成非法操作。

1. CSRF攻击的原理

下面先介绍一下CSRF攻击的原理：

完成 CSRF 攻击必须要有三个条件：

用户已经登录了站点 A，并在本地记录了 cookie在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。站点 A 没有做任何 CSRF 防御

我们来看一个例子： 当我们登入转账页面后，突然眼前一亮惊现"XXX隐私照片，不看后悔一辈子"的链接，耐不住内心躁动，立马点击了该危险的网站（页面代码如下图所示），但当这页面一加载，便会执行submitForm这个方法来提交转账请求，从而将10块转给黑客。

2.如何防御

防范 CSRF 攻击可以遵循以下几种规则：

Get 请求不对数据进行修改不让第三方网站访问到用户 Cookie阻止第三方网站请求接口请求时附带验证信息，比如验证码或者 Token

1) SameSite

可以对 Cookie 设置 SameSite 属性。该属性表示 Cookie 不随着跨域请求发送，可以很大程度减少 CSRF 的攻击，但是该属性目前并不是所有浏览器都兼容。

2) Referer Check

HTTP Referer是header的一部分，当浏览器向web服务器发送请求时，一般会带上Referer信息告诉服务器是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。可以通过检查请求的来源来防御CSRF攻击。正常请求的referer具有一定规律，如在提交表单的referer必定是在该页面发起的请求。所以通过检查http包头referer的值是不是这个页面，来判断是不是CSRF攻击。

但在某些情况下如从https跳转到http，浏览器处于安全考虑，不会发送referer，服务器就无法进行check了。若与该网站同域的其他网站有XSS漏洞，那么攻击者可以在其他网站注入恶意脚本，受害者进入了此类同域的网址，也会遭受攻击。出于以上原因，无法完全依赖Referer Check作为防御CSRF的主要手段。但是可以通过Referer Check来监控CSRF攻击的发生。

3) Anti CSRF Token

目前比较完善的解决方案是加入Anti-CSRF-Token。即发送请求时在HTTP 请求中以参数的形式加入一个随机产生的token，并在服务器建立一个拦截器来验证这个token。服务器读取浏览器当前域cookie中这个token值，会进行校验该请求当中的token和cookie当中的token值是否都存在且相等，才认为这是合法的请求。否则认为这次请求是违法的，拒绝该次服务。

这种方法相比Referer检查要安全很多，token可以在用户登陆后产生并放于session或cookie中，然后在每次请求时服务器把token从session或cookie中拿出，与本次请求中的token 进行比对。由于token的存在，攻击者无法再构造出一个完整的URL实施CSRF攻击。但在处理多个页面共存问题时，当某个页面消耗掉token后，其他页面的表单保存的还是被消耗掉的那个token，其他页面的表单提交时会出现token错误。

4) 验证码

应用程序和用户进行交互过程中，特别是账户交易这种核心步骤，强制用户输入验证码，才能完成最终请求。在通常情况下，验证码够很好地遏制CSRF攻击。但增加验证码降低了用户的体验，网站不能给所有的操作都加上验证码。所以只能将验证码作为一种辅助手段，在关键业务点设置验证码。

三、点击劫持

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中，并将 iframe 设置为透明，在页面中透出一个按钮诱导用户点击。

1. 特点

隐蔽性较高，骗取用户操作"UI-覆盖攻击"利用iframe或者其它标签的属性

2. 点击劫持的原理

用户在登陆 A 网站的系统后，被攻击者诱惑打开第三方网站，而第三方网站通过 iframe 引入了 A 网站的页面内容，用户在第三方网站中点击某个按钮（被装饰的按钮），实际上是点击了 A 网站的按钮。接下来我们举个例子：我在优酷发布了很多视频，想让更多的人关注它，就可以通过点击劫持来实现

iframe { width: 1440px; height: 900px; position: absolute; top: -0px; left: -0px; z-index: 2; -moz-opacity: 0; opacity: 0; filter: alpha(opacity=0); } button { position: absolute; top: 270px; left: 1150px; z-index: 1; width: 90px; height:40px; } </style> ...... <button>点击脱衣</button> <img src="http://pic1.win4000.com/wallpaper/2018-03-19/5aaf2bf0122d2.jpg"> <iframe src="http://i.youku.com/u/UMjA0NTg4Njcy" scrolling="no"></iframe>

从上图可知，攻击者通过图片作为页面背景，隐藏了用户操作的真实界面，当你按耐不住好奇点击按钮以后，真正的点击的其实是隐藏的那个页面的订阅按钮，然后就会在你不知情的情况下订阅了。

3. 如何防御

1）X-FRAME-OPTIONS

X-FRAME-OPTIONS是一个 HTTP 响应头，在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。

该响应头有三个值可选，分别是

DENY，表示页面不允许通过 iframe 的方式展示SAMEORIGIN，表示页面可以在相同域名下通过 iframe 的方式展示ALLOW-FROM，表示页面可以在指定来源的 iframe 中展示

2）JavaScript 防御

对于某些远古浏览器来说，并不能支持上面的这种方式，那我们只有通过 JS 的方式来防御点击劫持了。

<head> <style id="click-jack"> html { display: none !important; } </style> </head> <body> <script> if (self == top) { var style = document.getElementById('click-jack') document.body.removeChild(style) } else { top.location = self.location } </script> </body>

以上代码的作用就是当通过 iframe 的方式加载页面时，攻击者的网页直接不显示所有内容了。

给大家推荐一个好用的BUG监控工具Fundebug，欢迎免费试用！

四、URL跳转漏洞

定义：借助未验证的URL跳转，将应用程序引导到不安全的第三方区域，从而导致的安全问题。

1.URL跳转漏洞原理

黑客利用URL跳转漏洞来诱导安全意识低的用户点击，导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。安全意识低的用户点击后,经过服务器或者浏览器解析后，跳到恶意的网站中。

恶意链接需要进行伪装,经常的做法是熟悉的链接后面加上一个恶意的网址，这样才迷惑用户。

诸如伪装成像如下的网址，你是否能够识别出来是恶意网址呢？

http://gate.baidu.com/index?act=go&url=http://t.cn/RVTatrd http://qt.qq.com/safecheck.html?flag=1&url=http://t.cn/RVTatrd http://tieba.baidu.com/f/user/passport?jumpUrl=http://t.cn/RVTatrd

2.实现方式：

Header头跳转Javascript跳转META标签跳转

这里我们举个Header头跳转实现方式：

<?php $url=$_GET['jumpto']; header("Location: $url"); ?> http://www.wooyun.org/login.php?jumpto=http://www.evil.com

这里用户会认为www.wooyun.org都是可信的，但是点击上述链接将导致用户最终访问www.evil.com这个恶意网址。

3.如何防御

1)referer的限制

如果确定传递URL参数进入的来源，我们可以通过该方式实现安全限制，保证该URL的有效性，避免恶意用户自己生成跳转链接

2)加入有效性验证Token

我们保证所有生成的链接都是来自于我们可信域的，通过在生成的链接里加入用户不可控的Token对生成的链接进行校验，可以避免用户生成自己的恶意链接从而被利用，但是如果功能本身要求比较开放，可能导致有一定的限制。

五、SQL注入

SQL注入是一种常见的Web安全漏洞，攻击者利用这个漏洞，可以访问或修改数据，或者利用潜在的数据库漏洞进行攻击。

1.SQL注入的原理

我们先举一个万能钥匙的例子来说明其原理：

<form action="/login" method="POST"> <p>Username: <input type="text" name="username" /></p> <p>Password: <input type="password" name="password" /></p> <p><input type="submit" value="登陆" /></p> </form>

后端的 SQL 语句可能是如下这样的：

let querySQL = ` SELECT * FROM user WHERE username='${username}' AND psw='${password}' `; // 接下来就是执行 sql 语句...

这是我们经常见到的登录页面，但如果有一个恶意攻击者输入的用户名是 admin' --，密码随意输入，就可以直接登入系统了。why! ----这就是SQL注入

我们之前预想的SQL 语句是:

SELECT * FROM user WHERE username='admin' AND psw='password'

但是恶意攻击者用奇怪用户名将你的 SQL 语句变成了如下形式：

SELECT * FROM user WHERE username='admin' --' AND psw='xxxx'

在 SQL 中,' --是闭合和注释的意思，-是注释后面的内容的意思，所以查询语句就变成了：

SELECT * FROM user WHERE username='admin'

所谓的万能密码,本质上就是SQL注入的一种利用方式。

一次SQL注入的过程包括以下几个过程：

获取用户请求参数拼接到代码当中SQL语句按照我们构造参数的语义执行成功

SQL注入的必备条件：

1.可以控制输入的数据2.服务器要执行的代码拼接了控制的数据。

我们会发现SQL注入流程中与正常请求服务器类似，只是黑客控制了数据，构造了SQL查询，而正常的请求不会SQL查询这一步，SQL注入的本质:数据和代码未分离，即数据当做了代码来执行。

2.危害

获取数据库信息管理员后台用户名和密码获取其他数据库敏感信息：用户名、密码、手机号码、身份证、银行卡信息……整个数据库：脱裤获取服务器权限植入Webshell，获取服务器后门读取服务器敏感文件

3.如何防御

严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。对进入数据库的特殊字符（'，"，，<，>，&，*，; 等）进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。六、OS命令注入攻击

OS命令注入和SQL注入差不多，只不过SQL注入是针对数据库的，而OS命令注入是针对操作系统的。OS命令注入攻击指通过Web应用，执行非法的操作系统命令达到攻击的目的。只要在能调用Shell函数的地方就有存在被攻击的风险。倘若调用Shell时存在疏漏，就可以执行插入的非法命令。

命令注入攻击可以向Shell发送命令，让Windows或Linux操作系统的命令行启动程序。也就是说，通过命令注入攻击可执行操作系统上安装着的各种程序。

1.原理

黑客构造命令提交给web应用程序，web应用程序提取黑客构造的命令，拼接到被执行的命令中，因黑客注入的命令打破了原有命令结构，导致web应用执行了额外的命令，最后web应用程序将执行的结果输出到响应页面中。

我们通过一个例子来说明其原理，假如需要实现一个需求：用户提交一些内容到服务器，然后在服务器执行一些系统命令去返回一个结果给用户

// 以 Node.js 为例，假如在接口中需要从 github 下载用户指定的 repo const exec = require('mz/child_process').exec; let params = {/* 用户输入的参数 */}; exec(`git clone ${params.repo} /some/path`);

如果 params.repo 传入的是 https://github.com/admin/admin.github.io.git 确实能从指定的 git repo 上下载到想要的代码。但是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf /* && 恰好你的服务是用 root 权限起的就糟糕了。

2.如何防御

后端对前端提交内容进行规则限制（比如正则表达式）。在调用系统命令前对所有传入参数进行命令行参数转义过滤。不要直接拼接命令语句，借助一些工具做拼接、转义预处理，例如 Node.js 的 shell-escape npm包

以上就是常见的web安全漏洞及防御方法！

5、大学生的电脑有哪些必装软件？

说到实用的电脑软件，由于用的是Windows，这里就推荐一些作为互联网办公日常生活用到的软件。

安全工具：

火绒：

优点：

火绒是一个有洁癖的杀毒软件。他们固执地相信杀毒软件只杀毒，其余的事情不能，也不应该做。这和以免费杀毒吸引用户进而用广告把钱赚回来的360形成了鲜明的对比，进而成为了理想对抗现实的一种力量。火绒的理想国不一定会实现。但有他们的世界，比没有他们的世界更好。

链接：https://www.huorong.cn/

下载个人版就好。

播放器

PotPlayer

PotPlayer有独特的高级功能！

第一，支持单帧播放（F键前进一帧，D键倒退一帧，空格键正常播放）第二，支持变速播放（X键降速10%，C键提速10%，Z键重置）第三，支持5.1声道和7.1声道，可以搭建环绕声家庭影院第四，支持画声同步调节（<键画面提前50ms，>键画面延后50ms，？键重置）第五，按Tab键就能显示视频文件的详细信息第六，支持硬解码，支持软解码（软解码画质更佳）第七，支持画面宽高比自定义

链接：https://potplayer.en.softonic.com/?ex=CORE-117.3

压缩软件

bandzip：

Bandizip 是一款压缩软件，它支持WinZip、7-Zip 和 WinRAR 以及其它压缩格式。它拥有非常快速的压缩和解压缩的算法，适用于多核心压缩、快速拖放、高速压缩等功能。软件授权： 免费软件（家庭和办公室 100% 免费）.

可能会在软件页面内出现广告，如下图，不过影响不大，毕竟主要是使用这个功能嘛。

链接：https://www.bandisoft.com/

看图

爱奇艺看图

如果仅仅是简单的看看图片，没有什么专业需求。这款爱奇艺看图可以说非常适合。

关于图片的图片编辑功能，爱奇艺看图也所具备基础的水平/垂直翻转，裁剪，马赛克，添加文字，添加标注等等功能。

修改尺寸和格式转换，在一款看图软件中能加入这样的功能而且不卡顿，修改后的图片快速保存，可以说很实用了。

而且还支持压缩。

截图：

Snipaste：

主要功能

截图（普通截图、自定义截图，支持复制）贴图（钉到桌面）标注（矩圆型、折线、箭头、画笔、马赛克等等，贴图还可透明、镜像、旋转等等）取色

对于一边忙于实验过程，一边截图运行过程，结果，然后写报告的工作者来说，较为不错。

支持复制图片，不需要下载图片，可以直接进行图片的粘贴以悬浮（桌面上），可以一边看图片，一边工作。

浏览器

对于浏览器没有什么过多描述的，推荐Chrome，FireFox，以及新版Edge。

这个是最新的浏览器市场份额：

来源：百度流量研究院

办公软件

除了微软自带的office系列，推荐WPS，

WPS不是盗版软件，是一款完全自主知识产权的国产软件，这里的自主知识产权是真正意义上的自主，也是国产软件的骄傲之一。

一般格式都支持，word，pdf，ppt，Excel..而且商城内还有很多模板。

而且WPS还可以进行云空间备份，办公有保障

在线云文档

下面说一说我习惯用的吧，几款在线云文档吧，只需浏览器就可以，无需下载。

保存在云空间。

首先

有道云笔记：

有道云笔记，采用空间计费，最早的是2G，现在已经升为3G免费空间，这储存空间，已经比很多免费云盘的空间都要大了，针对于个人记笔记是绝对够用的，而付费成为会员后，直接50G。

当然，无需付费，也可以免费领取空间，只需要每天签到就可以了，签到领空间，连续签到一段后，每天大概能领取到10M左右空间，对于一般的小任务来说，足够了。

金山文档：

支持的文档类型多。支持：文档、表格、演示、流程图、思维导图、便签、表单……

会员拥有100 G云空间。与WPS完美对接。而且通过微信小程序，更加方便操作。

腾讯文档：

腾讯文档方面，编辑界面较为齐全，能够很好满足日常办公需求，同时文档在编辑过程中，支持实时保存，所有修改都会自动保存云端，不用担心因断网、断电导致正在编辑的内容丢失，重新联网后文档内容自动恢复。

支持微信，QQ操作，比较方便。

这次就分享这些了，我参考参考别的，不断更新。