关于WPS工具栏的操作

本篇文章主要介绍何为CommandBar，并且会附带一下如何隐藏某一个按钮或者某一个工具栏

关于CommandBar的介绍（概念）

VuePress是什么？

先让我们看看VuePress能干什么？有什么效果？

很像vue官网的文档页面，因为vuePress就是尤大大的一个力作

消息通知是连接系统和用户的桥梁，然而对于不同系统来说，如何设计消息组件，促进用户与系统的沟通呢？对于平台中的用户与用户之间的沟通，我们又该采用哪些互动方式呢？让我们一起来看一看不同的消息组件有哪些，希望能帮助我们做出更好地B端设计。

消息通知在我们设计的过程当中非常重要，因为它作为系统与用户之间沟通的桥梁，能够帮助我们提示用户：“目前的操作状态、系统的公告、用户之间的互动内容”，而不同的消息内容，我们需要使用不同的消息通知组件来进行反馈，比如用户与用户之间的互动应该采取什么互动方式？那我们就来说说消息通知组件的具体使用。

04

XSS漏洞挖掘技巧

4.1

常见的绕过姿势

实际应用中web程序往往会通过一些过滤规则来阻止带有恶意代码的用户输入被显示，但由于HTML语言的松散性和各种标签的不同优先级，使得我们绕过过滤规则成为了可能。

前言

你有没有想过，一个看似普通的网页，竟然能成为黑客的游乐场？没错，跨站脚本攻击（XSS）就是黑客们的“开心乐园”，一不小心就可能让你的网站“中毒”。这种攻击方式让人防不胜防，它能够在你毫无察觉的情况下，盗取用户的敏感信息，篡改数据，甚至直接控制用户的浏览器操作。听起来像科幻片？其实，这一切都发生在你每天浏览的网页上。

1.SQL注入

原理:

1).SQL命令可查询、插入、更新、删除等，命令的串接。而以分号字元为不同命 令的区别。（原本的作用是用于SubQuery或作为查询、插入、更新、删除……等 的条件式）

2).SQL命令对于传入的字符串参数是用单引号字元所包起来。（但连续2个单引 号字元，在SQL资料库中，则视为字串中的一个单引号字元）

3).SQL命令中，可以注入注解

澎湃新闻记者 蒲垚磊

科技正在改变体育。

科技是进步的最大动力，在足球领域也不例外。

在大数据和机器学习的帮助下，当今的足球世界早已和从前不可同日而语，从球员训练一直到观众的观赛，都已然发生了巨大的改变。

与亚马逊云服务（AWS）合作的德甲就是范例之一，在前者的帮助下，德甲得以向观众提供准确的实时统计分析数据。接受澎湃新闻记者（www.thepaper.cn）采访时，前德甲球员、勒沃库森体育总监西蒙·罗尔费斯（Simon Rolfes）坦言，这些数据不仅让观众和比赛距离更近，更为专业人士提供了诸多参考。

众所周知，我们一般将XSS分为三类，反射型、存储型、DOM型，反射型XSS这个基本可以说是没什么利用价值，因为它是不能留存下来的，你改变数据执行了一个临时的XSS，但这个数据没有存储到服务器、数据库中，不能再次展示给别人看，其他人进入同一页面请求服务器并不受你的脚本影响，DOM型XSS也是一样，它就是通过影响前端的DOM环境来执行一些js脚本，执行的脚本并没有留存下来，所以危害比较大的还是存储型XSS，也叫永久型XSS。

平常在我的渗透测试工作过程中，不管是什么类型的XSS问题，验证存在XSS问题也就js一小段脚本弹一个框，证明存在即可，但实际上，作为一名高级渗透测试人员肯定是要知道对于存储型XSS，针对这种漏洞，如何搭建环境接受跨站攻击获取的数据和利用的一整套流程。另外再补充下，只要是能让你输入的地方，留言、评论甚至URL上的参数等，你都可以试一下，还有验证XSS时候，不要只会一个<script>去alert，用<img>报错执行、<a>超链接执行javascript伪协议都可以，实际上将<、>这种特殊符号及编码过滤就已经能解决XSS很多问题了。