《Web前端黑客技术揭秘》勘误表
Latest commit ecfb9ee Sep 19, 2014 @evilcos evilcos Update README.md
5
Permalink
Failed to load latest commit information.
README.md Update README.md Sep 19, 2014

README.md

《Web前端黑客技术揭秘》勘误表,持续更新,谢谢反馈……

2014/06/1(重大更新)

以下bugs都在第5印中解决了。

2013/9/24(重大更新)

以下bugs都将在“2013年10月”台湾上市的《Web 2.0 駭客技術揭秘》中解决,感谢小伙伴们:)

2013/6/25

p183第七行:
<a href="#" onclick="do_some_func('',function(){alert(1);alert(2);},'')">test</a>
应该改为:
<a href="#" onclick="do_some_func('',function(){alert(1);alert(2);}(),'')">test</a>

感谢:Ay暗影的一而再的耐心反馈

2013/6/7

p282倒数第三行的replacdState()改为replaceState()

感谢:@lovelessyuyu反馈

2013/4/17

p60页下面这段:
1)allowNetworking
该参数控制Flash文件的网络访问功能,它有三个值:all(所有的网络API都可用)、internal(默认值,除了不能使用浏览器导航和浏览器交互的API外,如navigate ToURL、fscommand、ExternalInterface.call等,其他的都可用)、none(所有的网络API都不可用)。

有个错误,allowNetworking的默认值应该是all,而不是internal。
这个错误不影响本书的一些结论。

感谢:TSRC的mulu反馈

2013/3/8

p182的<a href="#" onclick="do_some_func(\"<?=$_GET['a']?>\")">test</a>改为:
<a href="#" onclick="do_some_func('<?=$_GET['a']?>')">test</a>
p183第三行的"do_some_func(",alert(1),")"改为"do_some_func('',alert(1),'')"

修改原因:单引号双引号弄混淆了,我眼花了。

还得注意:测试时关闭PHP的magic_quotes_gpc(设置php.ini的magic_quotes_gpc = Off)。

感谢:@muhuohacker反馈

2013/3/5

p29的“默认情况下,这样的跨域无法带上目标域的会话(Cookies等)”与p85的“利用AJAX?不行,它禁止跨域传输数据”。

这两句的说法有问题,在新一代浏览器下,通过AJAX跨域(CORS)带上Cookies是可以的,这个具体解释待我抽空写篇文章。

感谢:xi4oyu反馈

2013/2/28

p342,下面这句话引起了争议:

还有一种糟糕的子域设计是新浪微博,主内容都在顶级域下(weibo.com),大量的子域提供不同的业务,
任何一个子域有XSS,都可以轻易跨到顶级域下。

解决请看:http://evilcos.me/?p=251

感谢:sogl反馈

以下小改动已经在“2013年3月第2次”印刷中解决

p2~3里的4处desc改为desc1(原因是:desc是MySQL的保留字)

p11与p359的读者改为大家(大家更亲切:))

p31的var src = http://www.evil.com/steal.php;改为var src = "http://www.evil.com/steal.php";

p32的var src = http://www.evil.com/steal.php;改为var src = "http://www.evil.com/steal.php";

p130的1" onmouserover=alert(1) type="text改为1" onmouseover=alert(1) type="text

p130的<input value="1"onmouserover=alert(1) type="text" type="hidden" />改为:
<input value="1" onmouseover=alert(1) type="text" type="hidden" />

p73的熏染改为渲染

p338有两处的熏染改为渲染

感谢反馈的同学们