客栈

double cookie验证

from: http://www.75team.com/archives/729什么是double cookie验证double cookie验证是利用cookie来验证请求合法性的一种方法。一个double cookie验证的url形如http://a.com?c=cookie向服务器请求的url带上cookie,服务器收到请求后,解析出url中的cookie和http请求带过来的cookie进行对比。如果一样就说明请求合法,不一样就可以判定请求非法。因为是用url中的cookie和http请求中的cookie进行验证,所以叫double cookie验证。验证原理url是客户端javascript生成的,javascript可以读取cookie。url可以从任意客户端访问,但是只有一个客户端的http请求带给服务器的cookie和url中的cookie是一致的。注意事项用来验证的cookie在每个客户端必须唯一用来验证的cookie不能是敏感信息。比如登录用户的token不能作为验证的cookie应用场景double cookie验证不能判断用户修改本地cookie然后再进行的访问。但是没有关系。举个应用场景。比如一个网站的 评分功能的请求是这样的http://a.com?score=100&id=10000如果有人把这个url发到网上,引诱其它用户来点击,那么就会生成大量的评分请求。这时就可以用double cookie验证了。因为很难让点击这个链接的人先修改本地cookie然后再点击链接使用建议有的同学喜欢把cookie做个变换,防止别人一眼看出来是用哪个cookie做的验证。没必要这样做,也不应该这样做。变换的方法一定会暴露在客户端验证的目的不是为了防止有意伪造对cooie做变换的方法如果不得当,可能会对cookie的结构造成依赖。如果哪天cookie的结构改变了,就会使验证代码失效,甚至报错。

Simditor 简单快速的富文本编辑器

Simditor是团队协作工具 Tower 使用的富文本编辑器。相比传统的编辑器它的特点是:功能精简,加载快速输出格式化的标准HTML每一个功能都有非常优秀的使用体验兼容的浏览器:IE10+、Chrome、Firefox、Safari。Demo和文档:http://simditor.tower.im/[repo owner=”mycolorway” name=”simditor”]

都是dns惹的祸

  这两天一直以来博客如果博客使用http://joypen.cn不能访问,刚开始没有在意,以为是博客托管的服务器不稳定,刚在cnbeta看新闻,才知道是dnspod被攻击了,影响了dns,域名收到了影响了!  dnspod也为暴风提供了服务,暴风的客户端也出现了问题了,导致客户端不停的解析dns,让dns给爆掉了!害的我的域名不能访问!

我是一个病人

我是一个病人我常常会觉得天很昏暗 地球在摇晃眼前失去阳光的色彩我是多么的疲惫不止躯体 包括心灵病痛折磨的要死我并不畏惧死亡 只是放不下我的责任从一个世界走向另一个世界我无从选择我是一个病人 更是一个无可救药的人灵魂的死亡远比着肉体的朽腐可怕的多一个病人在岁月的孤冢中还将残活下去