hurrytospring 最近的时间轴更新 hurrytospring 最近的时间轴更新 |
hurrytospringV2EX 第 196573 号会员,加入于 2016-10-17 13:11:42 +08:00今日活跃度排名 14951 |
| 招安卓负责人,资深安卓。数亿天使轮初创公司 酷工作 • hurrytospring • 13 天前 • 最后回复来自 hurrytospring | 4 |
| 数亿天使轮初创公司招安卓负责人,资深安卓 无要点 • hurrytospring • 17 天前 • 最后回复来自 hurrytospring | 1 |
| Android 开发工程师 1 名,项目制,按天付费 外包 • hurrytospring • 17 天前 • 最后回复来自 blirun | 1 |
| 数亿元天使轮融资初创公司,招聘 framework 工程师 酷工作 • hurrytospring • 23 天前 |
| ## iOS 开发工程师 1 名,项目制,按天付费 外包 • hurrytospring • 23 天前 • 最后回复来自 hurrytospring | 3 |
| 找熟悉海外研发设施的团队帮忙运维,价格细聊 外包 • hurrytospring • 69 天前 • 最后回复来自 dsfasdfasdfe | 12 |
| 商业化公司想获取一些食谱数据集作为应用的初始数据,哪里可以买到呢 问与答 • hurrytospring • 113 天前 • 最后回复来自 googlefans | 2 |
| 数千万天使轮初创公司招安卓, ux 酷工作 • hurrytospring • 134 天前 • 最后回复来自 peitop | 10 |
| 字节跳动飞书多维表格,招前端, base 北京。 [组内同事直招] 酷工作 • hurrytospring • 2023-08-19 20:19:12 PM • 最后回复来自 hurrytospring | 7 |
| 打包出 出日版加强版 switch,动森,健身环,马里奥 party。
1 二手交易 • hurrytospring • 2021-07-07 19:23:15 PM • 最后回复来自 queuey
|
11 |
hurrytospring 最近回复了
10 小时 30 分钟前 回复了 0x93ee 创建的主题 › 优惠信息 › 黑五有啥云服务器折扣没? |
不在乎价格,在乎线路稳定性,选哪家
13 天前 回复了 hurrytospring 创建的主题 › 酷工作 › 招安卓负责人,资深安卓。数亿天使轮初创公司 |
欢迎各位安卓高手来投
14 天前 回复了 EastHorse 创建的主题 › 职场话题 › 一面都没过,会不会自己其实是是不是别人的 kpi? |
不是,面试不过有什么 kpi 啊,面试数量是什么 kpi 啊。。。我巴不得你面过呢,面过了,hc 填上了,有人干活了,也不用天天面试,活干不完了。。我有毛病非要陪一个面不过的人聊一个小时。。
只是有时候实在没有好简历了,降低下标准,想着面面试试看(其实大概率也过不了)
只是有时候实在没有好简历了,降低下标准,想着面面试试看(其实大概率也过不了)
17 天前 回复了 hurrytospring 创建的主题 › 酷工作 › 招安卓负责人,资深安卓。数亿天使轮初创公司 |
@NightFlame 对齐一般大厂标准,40-80k
98 天前 回复了 chinafengzhao 创建的主题 › 信息安全 › CROS 同源问题的一些疑问 |
1. 对,但是需要理解安全机制防的是什么,cors 机制中,防范的是跨站脚本攻击,比如在 A 网站中,发起一个对你服务( B )的请求,这个时候就可以携带上 B 的 cookie ,然后在请求中读 B 身份的内容。
至于你说的场景
1.1. 是黑客劫持了响应,然后注入恶意脚本,其实这个时候没有那么麻烦,黑客可以直接劫持 A 的请求。
1.2. 这个场景一般来说是依赖 https 或者更底层的协议来保护,跟 cors 没有关系
2. 身份是一个统一的认证头,key 为 authorization ,如果你就是不用这个 key ,自己设计一个,你就自己越过了这个安全机制,你的服务你自己负责。
2.1 allow:*本质上是一种宽松校验机制,就是如果你认为你这个接口信息不重要,可以让别的站随便拿,你可以定义为*。但是当有这个 header 时,浏览器认为,这不是一个宽松的接口,是含有认证信息的敏感接口,应该采用更严格的校验机制,所以不让你用宽松的配置。
2.2 当然,你可以觉得浏览器说得不对,你换一个认证的 header key ,这个时候浏览器也不对这个事情负责,你可以继续 allow:* ,属于你自己越过安全机制,自己负责
至于你说的场景
1.1. 是黑客劫持了响应,然后注入恶意脚本,其实这个时候没有那么麻烦,黑客可以直接劫持 A 的请求。
1.2. 这个场景一般来说是依赖 https 或者更底层的协议来保护,跟 cors 没有关系
2. 身份是一个统一的认证头,key 为 authorization ,如果你就是不用这个 key ,自己设计一个,你就自己越过了这个安全机制,你的服务你自己负责。
2.1 allow:*本质上是一种宽松校验机制,就是如果你认为你这个接口信息不重要,可以让别的站随便拿,你可以定义为*。但是当有这个 header 时,浏览器认为,这不是一个宽松的接口,是含有认证信息的敏感接口,应该采用更严格的校验机制,所以不让你用宽松的配置。
2.2 当然,你可以觉得浏览器说得不对,你换一个认证的 header key ,这个时候浏览器也不对这个事情负责,你可以继续 allow:* ,属于你自己越过安全机制,自己负责
134 天前 回复了 hurrytospring 创建的主题 › 酷工作 › 数千万天使轮初创公司招安卓, ux |
@peitop web 已经有人选了,我们会先跑个 mvp 看看要不要加人,可以保持联系
Select Language