andiao6925的博客

XSS，即Cross Site Scripting，叫X是因为之前有了一个CSS。中文可以叫跨站脚本攻击。是前端工程师的一大威胁。XSS的根本，就是有恶意用户把代码植入了你要访问的页面中，从而控制你访问的页面，最终目的是获取你的信息。1，代码植入1）URL植入恶人把构造好的URL，通过聊天工具或论坛或邮件等发布出去，如果有人访问这个URL，【或有触发条件】攻击就会执行。...

CSRF，即Cross-site request forgery，中文一般叫跨站请求伪造。攻击原理是，用户在A网站（登录，之后打开一个B网站，B网站的脚本（或HTML标签）向A网站发送一个请求，这个请求会自动携带用户的COOKIE，如果这时A网站验证成功，则完成了攻击。那么，具体的攻击过程是什么？1）用户登录A网站。A网站提供一个修改用户名的api，例如htt...

　　大约在4年前，有机会认识到敏捷，了解到敏捷的一些价值观，一些思维，和一些实践。当时有应用一些XP推荐的实践，例如站立会议、结对编程、每日构建、TDD等，一个月后，没有看到成效，大家没什么信心，领导也不太看好，于是就结束了。我们还是一样的在做需求，做开发，做测试，公司还在，大家工资还是照样的发。而敏捷这事也没人再提了，时间慢慢的过去，自己也忘得差不多了。　　前两天，有幸参与公司组织...

　　“认真”，一个再普通不过的词，人人都懂其意义，但要真正做到“认真”这两个字，不容易。做不到“认真”，成功很难，而要是真正做到了这两个字，你会在痛苦的煎熬中，稳步前行。^_^　　什么叫真正做到“认真”？　　第一，首先要找到充分的理由，这是源动力所在。　　“认真”也需要理由？其实，做任何事都需要理由。“认真”，是很辛苦的，而且回报通常都是迟到的，因此我们除了有“认真”的理由，...

　　项目管理中，管理者会运用各种各样的权力来管理项目，其中最常用也最有效的权力就是专家权。　　专家权，是指因为掌握某一领域的专业知识/专业技能，或者在这个领域里具有丰富的实践经验，而具有这个领域里的话语权。这种话语权，包括对这一领域的介绍（例如组织里的分享）、推广、控制、改进等活动的得心应手的把握。这既能令人折服其对该领域的精深造诣，根据“光环效应”（光环效应不总是坏的），也能较为容...

最近很累，累得趴下，而有些团队成员的周报，“下周计划”为空白。工作分配的不平衡，开始体现在团队的情绪中。部分成员由于表现不好，一直只找些进度不紧的也较为简单的任务来给其完成。这不利于其个人的成长，也不利于团队的成长，长的过长，短的过短。管理上的失衡，不利于团队的成长，也不利于更好的管理，这是一种恶性循环。虽然深知其理，但是一直没有勇气把重要工作交代下去，核心成员硬着头...

　　小刘推开办公室的门，拨动开关按钮把灯和空调都打开。像往常一样，他环视了这个目前还是空无一人的空间，但还是像往常一样----“拥挤”这两个字扑面而来。　　小刘是XY公司的技术经理之一，他想起三年前的景象，包括自己在内的几个人就是在这个办公室里，编写代码、系统测试、上线调试，当时的办公室很空旷，紧张的工作之余还能大家一起踢个键子放松一下。　　现在，队伍壮大了，公司职员...