Pada tahun ini, saya bekerjasama dengan Noam Rosenthal untuk menyeragamkan ciri platform web baru: Saiz dan resolusi imej yang dinamik. Kejayaan! Walau bagaimanapun, perjalanan itu adalah lengkung pembelajaran yang curam.
Walaupun saya menjangkakan cabaran seperti maklum balas penyemak imbas dan halangan teknikal yang tidak diduga, saya meremehkan kesan terhadap prinsip keselamatan dan privasi web. Pemahaman terdahulu saya tentang prinsip -prinsip ini tidak mencukupi.
Matlamat kami adalah untuk mengubah saiz paparan lalai imej. Imej 800x600, secara lalai, menjadikan piksel 800x600 CSS. Ini adalah saiz intrinsiknya (atau saiz semula jadi), dengan ketumpatan lalai 1x.
Cabaran timbul apabila melayani imej ketumpatan tinggi, rendah, atau berubah-ubah tanpa CSS atau HTML. Ini adalah keperluan umum untuk tuan rumah imej seperti majikan saya, Cloudinary.
Penyelesaian kami terlibat:
- Pelayar membaca dan memohon metadata dalam sumber imej untuk mengisytiharkan saiz dan resolusi paparan yang dimaksudkan.
- Penyemak imbas lalai untuk metadata ini, ditolak melalui CSS (
image-resolution) atau markup (deskriptorxsrcset).
Ini seolah -olah bunyi - fleksibel dan membina corak yang sedia ada. Walau bagaimanapun, editor HTML Spec Anne Van Kesteren menolaknya, memetik pelanggaran dasar asal asal (SOP). Orientasi imej juga memerlukan penilaian semula. Keupayaan untuk bertukar -tukar kesan metadata EXIF ??melalui CSS/HTML melanggar SOP.
Pemahaman awal saya tentang SOP adalah terhad kepada kesilapan CORS. Sekarang, ia menghalang projek utama. Saya terpaksa belajar!
Kunci utama saya:
- SOP bukanlah satu peraturan, dan tidak semata -mata mengenai kesilapan CORS.
- Ia adalah falsafah yang berkembang, dilaksanakan secara tidak konsisten.
- Prinsip teras adalah bahawa keselamatan web dan sempadan privasi ditakrifkan oleh asal -usul . Asal bersama menunjukkan interaksi yang tidak terhad; Jika tidak, sekatan dikenakan.
- Banyak interaksi silang asal dibenarkan. Laman web secara amnya boleh menulis di seluruh asal (permintaan pos) dan membenamkan sumber silang asal (iframes, imej). Walau bagaimanapun, membaca sumber-sumber silang asal dalam JavaScript memerlukan kebenaran eksplisit (CORS).
- Secara kritikal, mencegah pembacaan silang asal melindungi privasi pengguna. Setiap pengguna melihat web yang diperibadikan, dipengaruhi oleh kuki dan konteks setempat. Membenarkan laman web untuk membaca data dari laman web lain melalui pelayar pengguna akan menjadi kecacatan keselamatan utama.
SOP terutamanya kebimbangan menghalang bacaan silang asal. Tindakan silang asal lain sering dibenarkan secara lalai.
Isu Saiz/Resolusi Imej:
Bayangkan https://coolbank.com/hero.jpg , mengembalikan kandungan yang berbeza berdasarkan status log masuk pengguna. Versi log masuk mungkin termasuk maklumat resolusi EXIF, sementara versi log keluar tidak. Pelakon yang berniat jahat boleh membenamkan imej ini, periksa saiz intrinsiknya (dengan dan tanpa EXIF), menyimpulkan status log masuk, dan berpotensi melancarkan serangan pancingan data.
Walaupun tidak mengakses data piksel (disebabkan oleh CORS), pelakon memperoleh maklumat di seluruh asal - pelanggaran.
Penyelesaian kami: Dalam konteks asal-usul, pengubahsuaian EXIF ??sentiasa digunakan, menjadikan maklumat tidak dapat dibaca. Imej dengan saiz EXIF ??yang ditentukan akan sentiasa diberikan mengikut saiz itu, tanpa mengira CSS mengatasi.
Memahami SOP menjelaskan konsep keselamatan web yang lain:
- Pemalsuan permintaan lintas tapak (CSRF) mengeksploitasi elaun lalai menulis silang asal.
- Kawalan Dasar Keselamatan Kandungan (CSP) yang dibenarkan masuk , menangani kerentanan skrip lintas tapak (XSS).
- Coop, Coep, Corp, dan Corb bertujuan untuk menghapuskan interaksi silang, menangani ketidakkonsistenan dalam pelaksanaan SOP dan mengurangkan kelemahan seperti Specter.
Pendek kata:
- Keselamatan dan privasi web adalah teguh, berdasarkan sekatan interaksi berasaskan asal.
- Pembacaan silang asal dilarang secara lalai untuk melindungi privasi pengguna.
- Mana -mana kelemahan SOP, namun kecil, adalah risiko keselamatan.
Pengalaman 2020 saya menekankan pentingnya SOP dan keperluan untuk amalan keselamatan web yang ketat. Masa depan yang lebih selamat dan lebih selamat memerlukan pertahanan prinsip -prinsip ini.
Atas ialah kandungan terperinci Saya belajar menyukai dasar asal yang sama. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
Alat AI Hot
Undress AI Tool
Gambar buka pakaian secara percuma
Undresser.AI Undress
Apl berkuasa AI untuk mencipta foto bogel yang realistik
AI Clothes Remover
Alat AI dalam talian untuk mengeluarkan pakaian daripada foto.
Clothoff.io
Penyingkiran pakaian AI
Video Face Swap
Tukar muka dalam mana-mana video dengan mudah menggunakan alat tukar muka AI percuma kami!
Artikel Panas
Alat panas
Notepad++7.3.1
Editor kod yang mudah digunakan dan percuma
SublimeText3 versi Cina
Versi Cina, sangat mudah digunakan
Hantar Studio 13.0.1
Persekitaran pembangunan bersepadu PHP yang berkuasa
Dreamweaver CS6
Alat pembangunan web visual
SublimeText3 versi Mac
Perisian penyuntingan kod peringkat Tuhan (SublimeText3)
Tutorial CSS untuk membuat pemuatan dan animasi pemuatan
Jul 07, 2025 am 12:07 AM
Terdapat tiga cara untuk membuat pemutar pemuatan CSS: 1. Gunakan pemutar asas sempadan untuk mencapai animasi mudah melalui HTML dan CSS; 2. Gunakan pemutar tersuai pelbagai mata untuk mencapai kesan lompat melalui masa kelewatan yang berlainan; 3. Tambahkan pemutar dalam butang dan beralih kelas melalui JavaScript untuk memaparkan status pemuatan. Setiap pendekatan menekankan pentingnya butiran reka bentuk seperti warna, saiz, kebolehcapaian dan pengoptimuman prestasi untuk meningkatkan pengalaman pengguna.
Menangani masalah dan awalan keserasian penyemak imbas CSS
Jul 07, 2025 am 01:44 AM
Untuk menangani keserasian pelayar CSS dan isu awalan, anda perlu memahami perbezaan sokongan penyemak imbas dan menggunakan awalan vendor dengan munasabah. 1. Memahami masalah biasa seperti Flexbox dan sokongan grid, kedudukan: prestasi tidak sah, dan prestasi animasi adalah berbeza; 2. Periksa status sokongan ciri CANIUSE Ciri; 3. Gunakan dengan betul -webkit-, -moz-, -ms-, -o- dan awalan pengeluar lain; 4. Adalah disyorkan untuk menggunakan autoprefixer untuk menambah awalan secara automatik; 5. Pasang postcss dan konfigurasi penyemak imbas untuk menentukan penyemak imbas sasaran; 6. Secara automatik mengendalikan keserasian semasa pembinaan; 7. Ciri -ciri pengesanan moden boleh digunakan untuk projek lama; 8. Tidak perlu meneruskan konsistensi semua pelayar,
Apakah perbezaan antara paparan: inline, paparan: blok, dan paparan: blok sebaris?
Jul 11, 2025 am 03:25 AM
Themaindifferencesbetweendisplay: inline, block, andinline-blockinhtml/cssarelayoutbehavior, spaceusage, andstylingcontrol.1.inlineelementsflowwithtext, notstartonNewlines, abaikanwidth/height, andonyapplylylylylylinddding/
Gaya yang dikunjungi pautan berbeza dengan CSS
Jul 11, 2025 am 03:26 AM
Menetapkan gaya pautan yang telah anda lawati dapat meningkatkan pengalaman pengguna, terutama di laman web yang berintensifkan kandungan untuk membantu pengguna menavigasi lebih baik. 1. Gunakan CSS: Kelas pseudo yang dilawati untuk menentukan gaya pautan yang dikunjungi, seperti perubahan warna; 2. Perhatikan bahawa penyemak imbas hanya membenarkan pengubahsuaian beberapa atribut disebabkan oleh sekatan privasi; 3. Pemilihan warna harus diselaraskan dengan gaya keseluruhan untuk mengelakkan ketangkasan; 4. Terminal mudah alih mungkin tidak memaparkan kesan ini, dan disyorkan untuk menggabungkannya dengan arahan visual lain seperti logo tambahan ikon.
Membuat bentuk tersuai dengan laluan klip CSS
Jul 09, 2025 am 01:29 AM
Gunakan atribut clip-path CSS untuk menanam unsur-unsur ke dalam bentuk tersuai, seperti segitiga, takik bulat, poligon, dan lain-lain, tanpa bergantung pada gambar atau SVG. Kelebihannya termasuk: 1. Menyokong pelbagai bentuk asas seperti Circle, Ellipse, Polygon, dan lain -lain; 2. Pelarasan responsif dan boleh disesuaikan dengan terminal mudah alih; 3. Mudah untuk animasi, dan boleh digabungkan dengan hover atau javascript untuk mencapai kesan dinamik; 4. Ia tidak menjejaskan aliran susun atur, dan hanya tanaman kawasan paparan. Penggunaan umum adalah seperti laluan klip bulat: bulatan (50pxatcenter) dan triangle clip-path: polygon (50%0%, 100 0%, 0 0%). Notis
Bagaimana untuk membuat imej responsif menggunakan CSS?
Jul 15, 2025 am 01:10 AM
Untuk membuat imej responsif menggunakan CSS, ia boleh dicapai terutamanya melalui kaedah berikut: 1. Gunakan maksimum lebar: 100% dan ketinggian: auto untuk membolehkan imej menyesuaikan diri dengan lebar kontena sambil mengekalkan perkadaran; 2. Gunakan atribut SRCSET dan saiz HTML dengan bijak memuatkan sumber imej yang disesuaikan dengan skrin yang berbeza; 3. Gunakan objek-sesuai dan kedudukan objek untuk mengawal penanaman imej dan paparan fokus. Bersama -sama, kaedah ini memastikan bahawa imej dibentangkan dengan jelas dan indah pada peranti yang berbeza.
Unit CSS Demystifying: PX, EM, REM, VW, VH Perbandingan
Jul 08, 2025 am 02:16 AM
Pilihan unit CSS bergantung kepada keperluan reka bentuk dan keperluan responsif. 1.PX digunakan untuk saiz tetap, sesuai untuk kawalan yang tepat tetapi kekurangan keanjalan; 2.EM adalah unit relatif, yang mudah disebabkan oleh pengaruh unsur induk, sementara REM lebih stabil berdasarkan unsur akar dan sesuai untuk skala global; 3.VW/VH didasarkan pada saiz viewport, sesuai untuk reka bentuk yang responsif, tetapi perhatian harus dibayar kepada prestasi di bawah skrin yang melampau; 4. Apabila memilih, ia harus ditentukan berdasarkan sama ada pelarasan responsif, hubungan hierarki elemen dan ketergantungan viewport. Penggunaan yang munasabah boleh meningkatkan fleksibiliti dan penyelenggaraan susun atur.
Apakah ketidakkonsistenan penyemak imbas CSS biasa?
Jul 26, 2025 am 07:04 AM
Penyemak imbas yang berbeza mempunyai perbezaan dalam parsing CSS, mengakibatkan kesan paparan yang tidak konsisten, terutamanya termasuk perbezaan gaya lalai, kaedah pengiraan model kotak, flexbox dan tahap sokongan susun atur grid, dan tingkah laku yang tidak konsisten bagi atribut CSS tertentu. 1. Pemprosesan gaya lalai tidak konsisten. Penyelesaiannya adalah menggunakan cssreset atau normalisasi.css untuk menyatukan gaya awal; 2. Kaedah pengiraan model kotak versi lama IE adalah berbeza. Adalah disyorkan untuk menggunakan kotak-kotak: kotak sempadan dengan cara yang bersatu; 3. Flexbox dan grid melakukan secara berbeza dalam kes kelebihan atau dalam versi lama. Lebih banyak ujian dan gunakan autoprefixer; 4. Beberapa tingkah laku atribut CSS tidak konsisten. CANIUSE mesti dirujuk dan diturunkan.
