Weil Jimmer's Blog

Category：HTML

Found 7 records. At Page 1 / 2.

本站通過之標準

No Comments

更新於 2017-05-04 20:20:55

本站於 2017.01.20 決定將網域 weils.net 加入 HSTS preload 清單中，並且全站HTTPS，以增進用戶之體驗與安全。

而近期，Chrome 的桌面及安卓穩定版(版本58之後)已經硬寫入本站域名，而任何舊版瀏覽器以HTTP訪問本站皆是"危險"且不可能的事情，若發生請立刻中斷連線，以保護您的資訊免於駭客侵犯。

而本站在昨日添加了 DNS CAA 紀錄進入幾個主要網站域名，更加強了預防假證書的發行。

昨日，本站也修復了歷來 weils.net 無DS紀錄導致 DNSSEC不安全的錯誤，故即日起， weils.net 之 DNSSEC 已經完全正常運作。

本站也全面以HTML5 W3C標準通過網站規格驗證，確保網站擁有良好的瀏覽品質。

另在更久以前 url.weils.net 成立之初，本站也全面使用現行網際網路最新之協定 HTTP/2 ，使用戶瀏覽本站速度會更加快速。

最後則是本站支援 IPv6 。

This entry was posted in Announcement, General, Experience, HTML, The Internet, Note, WebHosting By Weil Jimmer.

利用 Flickr API 取得原始圖片網址

No Comments

更新於 2017-05-19 18:53:20

鑒於網站上的空間有限，存放圖片又非常不方便，存本站會耗費空間與流量，存外站就不會。而 Flickr 支持 1 TB 的免費圖片空間！還支援原圖外連，這對我來說，非常好用！

為了把外站同步相簿到本站，需要研讀一下 Flickr API ，請參考：
https://www.flickr.com/services/api/

由於本教學是不需要"簽發授權的"，所以原圖只能是上傳者公開，才能取得，否則只能其他解析度的圖片。但拿不到原圖，基本上還是很高清的。

不然只能用Flickr的OAuth取得Token，不過太麻煩我就不講了。可以參考：
https://www.flickr.com/services/api/explore/flickr.photosets.getPhotos

必須要自己設定成公開，API才可以取得原始圖片。

第一步、要先建立應用程式，https://www.flickr.com/services/apps/create/apply/

隨便填一下資料後，可以取得應用程式的 key 值與金鑰。

然後使用：http://idgettr.com/

輸入自己個人頁面網址，可以取得自己的 User ID，長得像是： 123456789@N01。

接著用「程式」訪問 Flickr 的 API 特殊網址 (要記得變更網址 { } 大括號夾住部分)：

API_KEY,USER_ID 請照上述步驟取得
https://api.flickr.com/services/rest/?method=flickr.photosets.getList&api_key={API_KEY}&user_id={USER_ID}&format=json

可以得到如下圖的頁面：這是JSON格式的資料。請尋找您要取得網址的相簿ID。(長得像是下圖橘色所示)

然後再用程式訪問

{API_KEY},{USER_ID},{PHOTOSET_ID}記得替換
https://api.flickr.com/services/rest/?method=flickr.photosets.getPhotos&api_key={API_KEY}&user_id={USER_ID}&photoset_id={PHOTOSET_ID}&extras=url_o&format=json

就可取得原始資料。

範例程式碼：

<textarea name="contents" id="contents" style="resize:vertical;height:150px;font-size:12pt;"></textarea>
<script type="text/javascript">
var http = new XMLHttpRequest("Microsoft.XMLHTTP");
var url_='https://api.flickr.com/services/rest/?method=flickr.photosets.getPhotos&api_key={API_KEY}&user_id={USER_ID}&photoset_id={PHOTOSET_ID}&extras=url_o&format=json';
function connect(){
	http.onreadystatechange = function(){
		if (http.readyState==4){
			if (http.status==200){
				var str = http.responseText.toString();
				str = str.substring(14,str.length-1);
				var obj = JSON.parse(str);
				var html_code_to_load = "";
				for (var i=0;i<obj['photoset']['photo'].length;i++){
					html_code_to_load += obj['photoset']['photo'][i]['url_o'] + "\n";
				}
				document.getElementById('contents').innerHTML=html_code_to_load.substring(0,html_code_to_load.length-1);
			}else{
				//Connect Failed.
			}
		}
	}
	http.open("GET",url_,true);
	http.send();
}
connect();
</script>

By Weil Jimmer

This entry was posted in General, Experience, Functions, HTML, JS, XML By Weil Jimmer.

程式設計缺陷足以修改Header偽造IP

No Comments

更新於 2017-05-19 18:59:14

這其實是個老梗，很久以前就知道了。今天又突然想到，發篇文章好了。

很多網站上的程式教學都是錯誤的，取得IP方法用get Header 的 Client-IP 及 X-Forwarded-For。

真的是禍害，Header是可以給用戶隨意變更的。

我修改了 Header 在網站上隨意搜尋 What is my ip ?。

結果大部分網站都有問題！

我怎麼改，網站就怎麼顯示，怎麼都對。如果今天我把Header改成<script>標籤，不就造成了XSS攻擊漏洞？改成SQL語法，造成SQL注入漏洞。

只是剛好想到，之前也沒發過類似的文章，補發。

This entry was posted in General, Experience, HTML, The Internet, PHP By Weil Jimmer.

淺談 - 資安 - 表單防禦

No Comments

更新於 2017-03-04 14:51:53

閒閒沒事在Google搜尋我自己部落相關的關鍵字，想看看能見度多高還有會顯示什麼東西，我搜尋表單攻擊，卻看到別人部落上寫了一篇表單安全性的文章，突然有感而發，我也來發表這類的東西。

--只是個人淺見，若有高手歡迎指正。--

首先撰寫表單堅持一些要點就不容易被攻擊。

一、過濾所有Request變數。

最基本的防禦XSS，那些JavaScript寫成的惡意程式碼，還有跨站框架……等等攻擊。最主要只要擋掉「HTML」標籤就可以了，問題是，萬一我要開放HTML給使用者使用，這下才是真的麻煩，如果真如此就只好開放BBcode囉。千萬不要直接允許用戶輸入HTML，即使是限制也是有問題的。

攻擊者可以利用事件 onClick、onError、onLoad 之類的方式觸發XSS攻擊。危險。

Replace掉所有「<」、「>」、單雙引號，就安全了嗎？Maybe，Maybe Not。

有些人就直接 Replace 掉 <script ，感覺上很對，實際上有很大的漏洞。

如果我寫「<script<scr<scriptipt>」被過濾掉一次之後會變為「<script>」，像這種清除字串，最好寫一個 while true ，刪乾淨，搜尋到就刪，直到沒搜尋到為止。(萬不得已才這樣做)

個人建議全部改用 HTML 編碼，全面HTML編碼（HTML編碼就是 &#Unicode; 的形式的字串），若有引數是在資料庫語句的話就請不要用 XXX=XXX 的形式(數字型態)，全部改用 XXX="XXX" 之類的，一定要有引號框住。並且過濾掉所有單雙引號<>以及反斜線。

至於傳進變數的方式，建議通通改成 POST ，不要使用 GET ，除非分頁設計還是什麼的，不然絕對沒必要使用 GET ，很危險。這有牽扯到某些伺服器的有啟用magic quotes，會自動脫逸引號字元，所以用POST會較為安全一些。而且POST，攻擊者比較不好攻擊。

還有COOKIE、Header 傳進來的也建議過濾掉。

二、不使用cookie、鎖定session以及IP。

又要再次重申 cookie 的危險程度，我幾乎寫程式只用 session 完全不使用 cookie，我知道session 有所謂的 SESSION_id 是透過 cookie 所存，所以攻擊者只要獲取其他人的 session ID，即可使用 cookie 欺騙就這樣簡單的取得他人的帳號權限。

網路上有一堆防禦方法是透過IP UserAgent 算出來的 MD5 作為安全碼，只要進來的安全碼和之前不同就登出用戶，是一個很棒的方式，不過很麻煩。這對登入表單有一些效果，如果是留言表單，我故意關閉cookie，讓server的session id 跳錯，這樣就很有可能可以直接不經過驗證碼就可以留言（前提是對方沒有檢查session驗證碼的值是否為空）。

我的作法是強制鎖定 session ID 為 IP 的 md5 值，這樣也許會有點不方便，不過我覺得這樣反而好一點，不需要擔心什麼 session 挾持，或是對方換一個新的 ID 進來，明明被 ban 15分鐘又可以繼續留言。

三、防止表單偽造、防止惡意灌水

什麼是表單偽造，表單傳入的值可以直接當成 name=value&name2=value2 ... 無限延伸，檢查也是檢查值，很多後端程式根本不管從哪來 Request 進來的，這給攻擊者很大的方便，只要複製一分一模一樣的表單，就可以無限偽造一堆請求過去。

有些會透過 Header 的 Referer 來檢查轉介站，不過 Header 也是可以偽造的。

所以，最好是在表單一訪問的情況就立刻生成一個 Key ，當值傳到後端處理的時候，就檢查那個 Key 有沒有相同，不同就是表單偽造，然後每次通過驗證就銷毀 Key重新生成一個新的，而攻擊者為了取得Key，必須一直不斷的向「原始」表單請求，獲取裡面的 Key 才可以發送資料。

這原理跟驗證碼有點相似，現在很多網站都有圖形驗證碼了。不過一樣也有一些是沒有驗證碼的，驗證碼是一定要有的！不然會被惡意攻擊，

而那些使用「文字」驗證碼的人，自以為很安全，其實很危險。我近期開發出來的表單攻擊程式就可以破解文字驗證碼！即使是要經過數學運算的也是一樣可以破解。

意味著我可以提交完就訪問原始網站，分析驗證碼，又提交，又訪問原始網站，分析驗證碼，又提交……

唯有圖形驗證碼才可以防禦此類攻擊。文字驗證碼根本不可靠。

By Weil Jimmer

This entry was posted in General, Experience, Functions, HTML, JS, PHP By Weil Jimmer.

HTML5上傳進度條

No Comments

更新於 2017-02-18 23:18:40

從網路上查到的AJAX XML Request 的方式，竟然還有這種用法……我都不知道……

廢話不多說，直接分享Code。一看就懂。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <title>Upload Files using XMLHttpRequest - Minimal</title>

    <script type="text/javascript">
      function fileSelected() {
        var file = document.getElementById('fileToUpload').files[0];
        if (file) {
          var fileSize = 0;
          if (file.size > 1024 * 1024)
            fileSize = (Math.round(file.size * 100 / (1024 * 1024)) / 100).toString() + 'MB';
          else
            fileSize = (Math.round(file.size * 100 / 1024) / 100).toString() + 'KB';

          document.getElementById('fileName').innerHTML = 'Name: ' + file.name;
          document.getElementById('fileSize').innerHTML = 'Size: ' + fileSize;
          document.getElementById('fileType').innerHTML = 'Type: ' + file.type;
        }
      }

      function uploadFile() {
        var fd = new FormData();
	fd.append("field","var1");
        fd.append("file", document.getElementById('fileToUpload').files[0]);
        var xhr = new XMLHttpRequest();
        xhr.upload.addEventListener("progress", uploadProgress, false);
        xhr.addEventListener("load", uploadComplete, false);
        xhr.addEventListener("error", uploadFailed, false);
        xhr.addEventListener("abort", uploadCanceled, false);
        xhr.open("POST", "upload.php");
		//xhr.setRequestHeader("Content-type","multipart/form-data");
        xhr.send(fd);
      }

      function uploadProgress(evt) {
        if (evt.lengthComputable) {
          var percentComplete = Math.round(evt.loaded * 100 / evt.total);
          document.getElementById('progressNumber').innerHTML = percentComplete.toString() + '%';
        }
        else {
          document.getElementById('progressNumber').innerHTML = 'unable to compute';
        }
      }

      function uploadComplete(evt) {
        /* This event is raised when the server send back a response */
        alert(evt.target.responseText);
      }

      function uploadFailed(evt) {
        alert("There was an error attempting to upload the file.");
      }

      function uploadCanceled(evt) {
        alert("The upload has been canceled by the user or the browser dropped the connection.");
      }
    </script>
</head>
<body>
<form id="form1" enctype="multipart/form-data" method="post" action="upload.php">
<div class="row">
      <label for="fileToUpload">Select a File to Upload</label>
<input type="file" name="file" id="fileToUpload" onchange="fileSelected();"/>
    </div>
<div id="fileName"></div>
<div id="fileSize"></div>
<div id="fileType"></div>
<div class="row">
<input type="button" onclick="uploadFile()" value="Upload" />
    </div>
<div id="progressNumber"></div>
</form>
</body>
</html>

This entry was posted in Functions, HTML, JS, Note, XML By Weil Jimmer.

1 2 （／2 頁）下一頁

Visitor Count

nonenonenone

Note

台灣假新聞橫行，沒一家霉體能信的，網軍側翼到處洗風向，堪憂。

政府根本不怕你拿法律當武器，只怕你放下法律拿起武器。

不要和愚蠢的人發生爭執。

支持網路中立性.
Support Net Neutrality.

飽暖思淫欲，
饑寒起盜心。

朱門酒肉臭，
路有凍死骨。

支持臺灣實施
無條件基本收入！

今天是國際兒童圖書日。

Search

Music

Life Counter

23160days

8 hours 47 minutes 56 seconds

Breaths between now and when I die.

Blogging Journey

4597days

since our first blog post.

Words Quiz

Quotes

The strong do what they can and the weak suffer what they must.

Privacy is your right and ability to be yourself and express yourself without the fear that someone is looking over your shoulder and that you might be punished for being yourself, whatever that may be.

It is quality rather than quantity that matters.

I WANT Internet Freedom.

Reality made most of people lost their childishness.

Justice,Freedom,Knowledge.

Without music life would be a mistake.

Support/Donate

This site also need a little money to maintain operations, not entirely without any cost in the Internet. Your donations will be the best support and power of the site.
Method	Bitcoin Address


Linode