《Web前端黑客技术揭秘》勘误表,持续更新,谢谢反馈……
以下bugs都在第5印中解决了。
以下bugs都将在“2013年10月”台湾上市的《Web 2.0 駭客技術揭秘》中解决,感谢小伙伴们:)
p183第七行:
<a href="#" onclick="do_some_func('',function(){alert(1);alert(2);},'')">test</a>
应该改为:
<a href="#" onclick="do_some_func('',function(){alert(1);alert(2);}(),'')">test</a>
感谢:Ay暗影的一而再的耐心反馈
p282倒数第三行的replacdState()改为replaceState() 感谢:@lovelessyuyu反馈
p60页下面这段: 1)allowNetworking 该参数控制Flash文件的网络访问功能,它有三个值:all(所有的网络API都可用)、internal(默认值,除了不能使用浏览器导航和浏览器交互的API外,如navigate ToURL、fscommand、ExternalInterface.call等,其他的都可用)、none(所有的网络API都不可用)。 有个错误,allowNetworking的默认值应该是all,而不是internal。 这个错误不影响本书的一些结论。 感谢:TSRC的mulu反馈
p182的<a href="#" onclick="do_some_func(\"<?=$_GET['a']?>\")">test</a>改为:
<a href="#" onclick="do_some_func('<?=$_GET['a']?>')">test</a>
p183第三行的"do_some_func(",alert(1),")"改为"do_some_func('',alert(1),'')"
修改原因:单引号双引号弄混淆了,我眼花了。
还得注意:测试时关闭PHP的magic_quotes_gpc(设置php.ini的magic_quotes_gpc = Off)。
感谢:@muhuohacker反馈
p29的“默认情况下,这样的跨域无法带上目标域的会话(Cookies等)”与p85的“利用AJAX?不行,它禁止跨域传输数据”。 这两句的说法有问题,在新一代浏览器下,通过AJAX跨域(CORS)带上Cookies是可以的,这个具体解释待我抽空写篇文章。 感谢:xi4oyu反馈
p342,下面这句话引起了争议: 还有一种糟糕的子域设计是新浪微博,主内容都在顶级域下(weibo.com),大量的子域提供不同的业务, 任何一个子域有XSS,都可以轻易跨到顶级域下。 解决请看:http://evilcos.me/?p=251 感谢:sogl反馈
p2~3里的4处desc改为desc1(原因是:desc是MySQL的保留字) p11与p359的读者改为大家(大家更亲切:)) p31的var src = http://www.evil.com/steal.php;改为var src = "http://www.evil.com/steal.php"; p32的var src = http://www.evil.com/steal.php;改为var src = "http://www.evil.com/steal.php"; p130的1" onmouserover=alert(1) type="text改为1" onmouseover=alert(1) type="text p130的<input value="1"onmouserover=alert(1) type="text" type="hidden" />改为: <input value="1" onmouseover=alert(1) type="text" type="hidden" /> p73的熏染改为渲染 p338有两处的熏染改为渲染
感谢反馈的同学们