V2EX › Belmode 的所有回复 › 第 4 页 / 共 24 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 2 3 4 5 6 7 8 9 10 ... 24

❮

❯

108 天前

回复了 rizon 创建的主题 › Amazon Web Services › aws lambda 里怎么实现 waituntil

这种一直后台运行，消耗的 GBS 岂不是海量的

110 天前

回复了 Sunrisepeak 创建的主题 › 程序员 › 把自己从程序员视角用二进制思维设计 logo 的过程制作成了一个视频, 欢迎交流讨论这个设计思路

这和那些随机生成的头像有什么区别...

110 天前

回复了 Rust2015 创建的主题 › JavaScript › () => void = (): void =>是什么意思：

我还多瞅了几眼，能这样写的都是人才。
要不不写类型，要么写清楚，乍看这种还真要消耗一下脑子。

112 天前

回复了 freshgoose 创建的主题 › 分享创造 › 用 nextjs 做了个网页版游戏

好玩的，挺有趣味的。

你们都这么牛逼，其实不是显得我 fw 了...

112 天前

回复了 kidxiang 创建的主题 › 问与答 › 求问一个 APP 定时点击的问题

http://doc.autoxjs.com/#/
https://github.com/kkevsekk1/AutoX
Autojs 秽土转生

112 天前

回复了 baiyekaslana 创建的主题 › Java › windows 使用 IDEA，通过 maven 打包一个开源项目的求助

https://imgur.com/Lpd93n5
这是 OP 问的吧，对方已经修复了这个问题，不过编译还是至少使用 JDK11+

相关文档： https://datacap.devlive.org/developer/server/home.html

我简单看了一下，这个项目挺不错的，就是不知道稳定性怎么样。

112 天前

回复了 RunningRabbit 创建的主题 › 程序员 › 推荐下性价比高的在线文本转语音服务 tts，用作听小说

MultiTTS ，支持离线阅读，支持角色分离。TTS 库支持：讯飞配音、微软语音、BDeTTS 、字节跳动、阿里 TTS 等等主流音库

158 天前

回复了 kimera 创建的主题 › 程序员 › 前端技术问题，求大佬们指点一下，万分感谢

如果使用 WebStrom 启动应用，要以配置 Run Configuration ，配置 npm 、pnpm 、yarn 命令的方式启动，不能直接点界面的浏览器图标。

164 天前

回复了 zhwguest 创建的主题 › Android › android studio 的考拉版本大家有没有碰到二级菜单经常弹不出来的情况？

没遇到过。可以看下 CPU Profiles 监控，是不是打开菜单那一刻 CPU 高负载。

176 天前

回复了 NoKey 创建的主题 › 程序员 › token 如何存放才能避免 csrf 攻击

@moon548834 #8

首先，我说以下一般实现，现在很多网站或者说产品，都没有专门设置 CSRF token 的，都不是通过这种手段来避免跨站攻击。
在你例子中，用户从钓鱼网站 B 触发的网站 C 的请求，携带了 Cookie 到目标服务器，但是服务器是不会认可`此次请求已被授权的`，因为不是从网站 C 页面上发起的，所以网站 C 的 JS 没有执行，没有讲 Cookie 中的 token 部分提取出来，放到 Header 中，并拼上`Bearer`之类的符号，所以这次请求，就和用户第一次访问网站 C 一样，是安全的。

这其中关键在于，网站 C 服务端，不认可从其他网页发起的 http 请求，只认可自己页面的，所以借助 Ouath2.0 令牌模式的机制，避免了 CSRF 。

当然你自定义任何方式都可以，只要类似我#6 的说法。

PS1：理论上令牌可以放到任何位置，但是一般放到 localStorage 里，因为浏览器请求在没有 JS 处理的情况下，不会携带这些信息，有一定安全性。
PS2：我说的只是一种最简单的模型理论，实际上企业中，预防 CSRF 的手段特别多，因为用户信息和权限的校验步骤非常多，也非常复杂，不是那一种方式就能完成的，都是多种手段并用。
PS3：V 站用了 CSRF token ，并且这个 token 有实效，过期了，页面都直接时效了，可以参考。

178 天前

回复了 drymonfidelia 创建的主题 › 程序员 › 为什么同样是后端语言， Java 可以用来开发 Android（客户端）， PHP 就不可以用来开发客户端？

因为 Android 上没有对应的 php 运行时和 php 基础库的支持。
你要愿意，可以用 android 的 so 库实现 php 运行时，开发一个能跑 php 的 app ，在 app 内借助 java Bridge ，来渲染 activity ，来套娃开发页面，也是可以的。

类似 autojs 的独立 Ui 模式，它就是用的 js Bridge 。

本质上可以，但是没有意义，花活而已。

178 天前

回复了 NoKey 创建的主题 › 程序员 › token 如何存放才能避免 csrf 攻击

@Belmode OP 提问中的疑问的答案是肯定的。你那样操作，是可以避免 CSRF 攻击的。

178 天前

回复了 NoKey 创建的主题 › 程序员 › token 如何存放才能避免 csrf 攻击

我觉得 CSRF 无非是避免浏览器，在非法跨站请求携带默认参数时，导致的权限问题。那`认证信息`放哪都无所谓了，放 cookie 也可以，放本地存储也可以，提交的时候放 header 也行，放 cookie 也行。只要保证存储和使用时有标记不一样，并且服务端只认带这个标记的`认证信息`。

楼上说的，Bearer Token 就是。`认证信息`存任何地方都行，但是放在请求头上时，Authorization: Bearer <token>。这样就确保，是自己站点的页面执行了 js 发送的请求，不是跨站请求。

所以用 OAuth2.0 之类的认证方式，只要提交请求认证信息时做点不一样的操作，都不用特别考虑 CSRF 攻击，因为从机制上已经避免了。

178 天前

回复了 honhon 创建的主题 › Android › 只读 Android 系统如何跟新 SystemUI

1. 解锁 bootloader
2. 刷入 Magisk
3. 备份 system 分区
4. 导入 PC ，反编译，修改 UI ，重新打包压缩 bin
5. 修补 system 分区
6. 重新刷入修补后的 system 分区

178 天前

回复了 kinboy 创建的主题 › 程序员 › Powershell windows 端口转发

@Davic1 #9

"Windows 上没有找到很好用的端口转发工具，就用 Powershell 写了一个脚本" ❌

"我开发了一个很好用的脚本工具，要跟大家炫耀一下" ✔️

180 天前

回复了 chensuiyi 创建的主题 › 程序员 › 程序员副业之写小说

@chensuiyi #19 你这想法就大错特错。你要不为挣钱，怎么做都可以，随心所欲。但是你要是为了当副业盈利，必须考虑读者！

你要为读者想看什么而去写作，不能特异独行，只写自己的想法。就是为了迎合读者，增加受众，才能有收益，否则就等着光速太监或者无限单机吧。

181 天前

回复了 jenson47 创建的主题 › Node.js › 关于前端 node 多版本你是如何解决的，还有您是本地开发还是远程开发

手动临时变更环境变量