关♥生活,关注互联网。
新人指引(pawa项目入门)
5月 22nd
1.项目理解
项目网站中主要的功能模块由产品货架页(可进入产品详情页,预约页,产品认购页以及支付页等等产品流程页)、融资页(登录后可查看用户融资额度及融资详情)、活动页(产品活动详情)、资产管理页(登陆后可进行个人资产管理和对账单)和资讯页(产品相关的行业资讯)、个人中心、订单、帮助中心。
主要产品分类有:
- 理财类【{ 活期理财:活期盈。大额盈 },{ 定期理财:安盈、汇盈、财富盈、任月盈 }】
- 投资类【稳健投资类,价值投资类】
- 融资类【财富e贷】
项目中主要使用框架/库:jquery, avalon,underscore,store,requirejs等等常用框架还有各种便于开发的插件。
项目目录主要分为 www(用于存放本地开发代码) 、dosc(存放需求文档) 、dist(本地mock文件和构造页面的wealth文件夹),build和release目录是编译配置和相关目录。
掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞
5月 17th
从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。
在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录和关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。
先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:
- 构造请求到关注接口;
- cookie中带有用户信息(用户已经登录)。
茵特拉根温泉一日游
5月 3rd
跟了个华侨城一日游的团,始发点基本上齐,没有中途上客所以到得比较早,请容许我用一张全景图开场:
拿着茶溪谷的门票发现游乐场已是人山人海,游乐项目几乎每个都要排队,那画面太美我不敢拍大家自行脑补。
微信webview远程调试
4月 5th
1月10日,微信公众平台对外开放了微信内网页开发工具包(微信JS-SDK)。在广大开发者和微信营销圈内产生了巨大反响。
JS-SDK在丰富了HTML5应用能力的同时,也带来了开发复杂度的提升。主要有以下几个方面:
- 微信webview中的缓存、localStorage等特性与原生浏览器的差异
- 盲人摸象隔靴搔痒,无法给臭虫最直接的打击
- 市面上的各种调试工具增加额外的学习成本,不如直接使用已熟手的 开发者工具。
在此背景下,开发者们需要一种更加便利的方式来面对挑战,提升效率。
分分钟把你的网站装进微信中
12月 28th
