@nbndco

太奇妙的逻辑了。

hdmi 口和音量的有啥关系？

你用 hdmi 口来输入声音的？

数字信号只能用解码器调音量？

那是不是编码器就不能调了？

docker

说因为是数字信号所以不能调音量是什么鬼逻辑？

可以不调还可以说是 feature

不可以调都是了？

还是说 hdmi 就只能用来 hifi,不能看电影玩游戏了？

hifi?线都比 mac 贵了吧，还看得上电脑做音源？

@nino

的确，了解肯定还是有好处的。

毕竟有时候可能做一些绕过后台的页面。比如在线页面，比如在线工具。比如一个简单的前台显示页。设置是为了降低服务端的负担。

我有点思维定势了。

@nino

OK 。你可以认为这是理想化的情况。

那么，这个问题其实会更复杂。

也就怎么默认处理后台抛过来的长的像 html 的东西。

我个人觉得，直接简单粗暴的 escape ，也不是万能的吧？

至少在我的观点中，后端管数据，前台管表现。

xss 这种东西牵涉到数据的处理与验证。个人觉得不适合让前端来处理。

最后，个人意见。

如果前端工程师没有 xss 的基本概念，应用可能是很脆弱的。

但依靠前端工程师去做 xss,应用一定是脆弱的。

毕竟，现在 api 调用+web/app/mobile 的形式也很多吧。这东西不从源头上去处理真的好么？

@nino

escape 本身是一种 Decode 的方式。

我认为 不能作为一种 默认的 处理方式。

decode 的方式本身就是需要前后端商议的部分。

@DualWield

展现后台传送的数据和存储性不存储性有什么关系…………

你说的问题无非是 前端在 JS/模板中不加处理的把部分 get 参数 /hash 等当作 html 来处理了呗。

也就是前端跳过了后台去处理罢了。

也就还是那个问题

“后台的数据验证交由前端来处理”

当然，你一定要说你做的是网页 app/工具，没有后台。

那 ok,是我的错。

理论上,前端也能操作数据库不是么？

@chemzqm

更确切点说。

作为一个后台接口 /模型来说。

一个文档告诉前端，这个数据内容是什么，很重要吧？

纯文本？

html?

markdown?

bbcode?

先想清楚这个，再来考虑问题是不是前端的问题吧。

大部分安全问题不该由前端来负责，这个是必须的。

@chemzqm

难道我说的不就是 ajax 的流程么？

用不用 Innerhtml 重要么？

本质上 escapde 就是种 decode 方法。

因此，做接口的时候需要明确输出的代码该怎么 decode,不对么？

如果会有 XSS 问题

也是 “后台不加处理的输出了原始的 html 代码”的问题。

xss 问题归结到前端不是和后台的数据验证交由前端来处理一样么？

@DualWield

作为一个从服务器到后台到前端都做的人来说

xss 的确和前端关系不大。

xss 也不该和前端有关系。

所谓的 xss 本质来说也是正常的网页代码片段。

判断这个代码是否是恶意的怎么会由前端来进行呢？

前端在这一个部分做的不应该是输出后台抛过来的内容？

唯一和前端有关的是怎么去解析后台抛的内容吧？

但这个是解析的问题，就如同显示的是 某种过滤规则的代码 /markdown/bbocde 之类。

xss 本身和前端能有啥关系呢……

linux 平台

rawtherapee
steam
chrome
libreoffice
gimp
shutter
freemind
Clementine
Smplayer

顺便，流氓软件是啥？

如果速度差 11 千米 /小时，则时间差 12 分钟，求距离？

发工单

发错……

发工单……

position 4 中定位说不清不应该。

2 级导航菜单用 jquery 没什么问题吧？

跨域的确归前端管， xss 和前端关系不大吧……

关于问题 3

难道楼主买了 macbook 后就不准备自己装系统了么？

还准备用这个自带系统啊……

@bwangel

娱乐功能没有。。。。黑五刚在 steam 剁手，圣诞准备再剁一波。。。