贪婪的君子

又是一个有关安全的问题。一般情况下，我们说的水印是指图片角落上的平台用户名水印。类似于下方图片上的这种，通常只要将图片上传到平台上，平台就会在图片上嵌入水印，当然，有些平台也会提供设置是否需要显示这种水印的开关，或者设置保存的时候才会加上水印。明水印这种水印的实现其实是比较简单的，就是将两张图片合成一张，或者是直接在原图上绘制内容就行了：<img id="pic" src="https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/f3c3c98.

XSS（跨站脚本攻击），聊两句，五毛的。XSS的危害：窃取Cookie，盗用用户身份信息这玩意儿是大多数XSS的目标，也好解决，可以先治个标，直接设置HttpOnly=true ，即不允许客户端脚本访问，设置完成后，通过js去读取cookie，你会发现document.cookie 无法读取到被标识为HttpOnly的Cookie内容了。配合其他漏洞，如CSRF（跨站请求伪造）这个其实就没那么好解决了，因为XSS利用用户身份构造的请求其实对于服务端来说是合法的。比如说咱在B站上传了一条.

貌似很多人在春节之后就想着跳槽、找工作的的事情了，也难怪，每年的年终奖就已经能决定了自己是不是该另谋出路了。

这段时间一直在啃算法，很久都没有写过文章了，主要是算法这东西被人反反复复写，水平高低的文章都有，我也就不想凑这个热闹，当然了，遇到有意思的问题，还是想记一下的。

用了一个星期把《你不知道的JavaScript》看完了，但是留下了很多疑惑，于是又带着这些疑惑回头看JavaScript的内容，略有所获。第二遍阅读这本书，希望自己能够有更为深刻的理解。词法作用域……如果是 有状态 的解析过程，还会赋予单词语义……这本书是以编译原理的部份内容结合JavaScript来开篇的，所以如果没有学过编译原理，这一小部分内容显得有些晦涩。虽然多数人没有...