@Forviler
@onice

再补充下另一本书：web 安全深度剖析，，这本书篇幅短一些。条例比白帽子讲 web 安全清晰一些。建议优先看这本。

只看 XSS 章节即可。

链接： https://pan.baidu.com/s/16s19_V5p3V-bMjsLtZLZMg?pwd=mhxz
提取码：mhxz

@Forviler 是这样子。XSS 的本质，是浏览器解析了攻击者插入到页面中的 JS 代码，，而这些代码恰好是恶意的，例如窃取用户 cookie 。

通过实体编码，我们就可以让攻击者插入的 js 代码原样显示在浏览器中，浏览器会显示尖括号，但并不会解析这些 js 代码。当然，浏览器中显示的是尖括号，但在代码层面，已经被处理为<之类的编码了。

对于大部分前端框架，例如 Vue 和 React ，默认就对 xss 进行防护了。当然， 除非你使用 v-html ，而通过 v-html 渲染的值，用户可以控制。

对于 Java 后端来说，，防御 XSS 的方法也很简单，加一个过滤器即可。把从前端传过来的所有数据，进行判断，如果发现尖括号等敏感的字符，就进行编码，例如转为：<

转换后的数据就是安全的了，转换后方可入库。

XSS 漏洞主要是危害用户的安全，XSS 往往导致用户的登录凭证被窃取，并不危害网站服务器。

大多数时候，XSS 都被划分为低危漏洞。

我上面说得可能也不是很详细，要不你参考下白帽子讲 web 安全，第三章 XSS 的部分。

XSS 漏洞很容易理解，是属于 web 漏洞中比较简单的。

书籍链接为：

链接： https://pan.baidu.com/s/1cmMkJH2_9I16A9DODUt5tg?pwd=xwld
提取码：xwld

防御 xss 最正确的方法是实体编码，而不是黑白名单过滤。
请参阅： https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html

四川可以考虑下攀枝花，同学在那边，说是一年四季都像春天一样。

操作系统会保留一部分内存。你使用 lsmem 命令查看。

最近我也在学语法，看的 B 站 up 主 Larry 想做技术大佬的语法课。

B 站千峰，黑马，入门视频看起来。

看了下，很不错的样子。

先 mark ，，以后有需要再部署。

感谢分享~

如果客户是正规企业，可以报警，报警的过程中强调这种刷单行为为公司造成了损失。

如果客户不满足上述条件，就举报运营商，理由是监管不严，导致有人滥用宽带。如果举报无果，就直接起诉运营商吧。

看到人情世故的方式处理，感到有些好笑。你现在连打你的人都不知道，，人情世故又有啥作用呢。

云服务器默认会开启 X11-forwarding ，这个功能可以转发图形界面。

即可以把远程 Linux 中的窗口显示到本机进行操作。

相关教程搜索下吧，一堆。

op 厉害了，电脑不安装任何安全软件，，还是公司法人。

就不怕公司机密泄露么。老牌安全软件 nod32 淘宝蓝蝶买正版八九多就能用三年。卡巴斯基一百多也能用三年。

幸好数据没被加密。不然就只能等着交赎金。

难怪早上打不了车。上周流感中招，今早咳嗽厉害，想去医院看看。结果滴滴下单后，没有车接单。

换了高德，好家伙，工作日非高峰竟排队 32 人。加钱后，在寒风中站了十多分钟，才排到自己。

滴滴也太拉跨了，估计是降本增效搞的。最近出事情挺多，先是语雀，又是阿里云，接着是滴滴。

我曾试过一个月不说话。之后下楼去吃饭买东西，说话感觉不利索很不习惯。

在我穷困潦倒的时候，我最喜欢的诗是：天生我材必有用，千金散尽还复来。

在我开始奋斗的时候，我最喜欢的诗是：长风破浪会有时，直挂云帆济沧海。

在我认识到人是有阶层，而且每个阶层是有壁垒的时候，我最喜欢的一句诗词是：尽人事，听天命。

我毕业那会，17 年左右，西部边陲地区大专可以考编。不知道现在要求提高没有。

@Bigstupidcat 不是自如。但是和自如性质差不多，是其他品牌的公寓。也是房东把房子交给品牌方公司打理。

当时住那里和小区其他人聊过，房子刚修那会，12 还是 13 年，房价七八千一平。短短六七年，房价都涨到 2W 了。

那会我刚高考，毕业就 17 年了，没赶上好时候啊，唉。

19 年我在成都工作，就住的英郡三期。那个时候合租一个次卧 1.2K ，，也不知道现在涨价没。

小区里有个人工小池子，找工作那段时间我经常一个人坐那里背面试题。现在回忆起来，也挺感慨的。

现在我过完年就 29 了，也不知道未来该怎么走。是卷技术还是考编。

当保安也挺好的，自己开心快乐就行。

你的诗写的不错，挺喜欢的。祝好！

@R00TP01 https://www.freebuf.com/articles/web/284091.html

反序列化漏洞走一波

看到不少 v 友提议自学的。

如果 lz 决定要转行了，，不建议自学。

如果自学，出现了 bug ，代码运行报错会极大概率解决不了，也找不到人去问，会抓瞎的。

自学顺利的前提是：你已经掌握了一门编程语言，并具备一定的工作经验后，转另一门语言。