恩,最近蠻常在GAE上面綁一個DOMAIN,
雖然蠻常操作,可是每次都還是要想一下,才想起來該怎麼用。
在GAE上大概分兩種設定domain,
- 透過Google Apps去買Domain (這種方式在綁domain很簡單)
- 自己已經有domain了,想要只到我的GAE上去
第一種很簡單,就不贅述,
第二種也沒難到哪去,只是要在我們買domain(例如:xxx.com)的地方新增一筆cname
且還要用我們的domain(例如:xxx.com)去申請Google Apps。
然後再verify我們的擁有權!
流程大概如下:
 |
【步驟一】
先登入到你的GAE後台,然後點選你要設定的那個application id,然後在去點選圖中紅色的框框(Application Settings) |
 |
【步驟二】
點選以後,會看到此張圖,請再點選此圖中的Add Domain |
 |
【步驟三】
點完按鈕以後會看到此張圖,請先點選圖中的紅色框框(要先用自己的domain去註冊Google Apps)
ps: 綠色框框等等會用到 |
 |
【步驟四】
點選以後會看到此圖,請在圖中的輸入框輸入您的domain,(例如:xxx.com)
填寫完以後,請點選Submit按鈕
點完按鈕以後,會要求你輸入資料
輸入完就點選送出 |
 |
【步驟五】
之後會看到此畫面,會要求您驗證domain
有很多種驗證方式,這邊就不教了,因為很簡單。 |
 |
【步驟六】
記得步驟三的綠色框框嗎?請回到那,並在那個框框輸入您的domain名稱(例如:xxx.com)
接著就會看到這個畫面,就輸入步驟四時填入的管理者帳號資訊 |
 |
【步驟七】
登入成功以後就會看到此畫面,就點選此圖中的紅色框框
輸入您的sub-domain名稱,(例如:www)
接著你就會有一列資料是www.xxx.com |
 |
【步驟八】
最後一步了,去到您購買domain的管理後台,這邊是以hinet為主,在後台上新增一筆cname,
且value為ghs.google.com
主機名稱(sub-domain)就是剛剛步驟七填寫的值 |
有極少數的網站開發者,
在處理有關input資料時,只會在client端進行validate(用Javascript),
往往忽略了server端的驗證。
如果這時候,hacker寫個小軟體利用telnet發送一個post到你的server,
那就爆了!
當然,hacker也可以直接寫個form,然後action是對你的server,
這樣就避掉client端的js,只不過這邊要說明怎麼用telnet去發出一個request。
假設對方做一個輸入mail的page,
然後該page有驗證,如果你輸入不是mail的格式,
就不會將資料傳到他的server,以及新增至DB。
這時候我們就可以利用telnet,跳過他前端的驗證機制!
首先打開你的cmd!
接著輸入下圖中的指令:
恩,上圖中的網址,記得改成連線的網址,圖中只是範例,
你連不到的!
連到以後,按下鍵盤的
CTRL+] 按鍵
接著輸入下圖中的指令,set localecho,輸入完成,按2下enter,
這段的目的是讓你等等輸入指令時看得到自己在輸入甚麼,
如果沒有這段,等等輸入指令,你是看不到自己在打啥!
接著就可以輸入發送POST的指令了!可以看下圖!
建議你,先在記事本上打一打,再貼上,因為在CMD輸入錯了,
是不能按DELETE或者Backspace的
第一行,記得是POST,然後/yyyy,就是你要收資料的page,要改成自己的喔!
第二行,HOST就是主機名稱,
第三行,就是告訴server,會有表單的資料傳遞過來
Refused to execute a JavaScript script. Source code of script found within request.恩,今天再做一個準備Demo何謂XSS攻擊的網頁,
發現用Chrome開啟該網頁時,所有的攻擊都無效!!!!!!
去看了一下Console,發現出現了下列的訊息
Refused to execute a JavaScript script. Source code of script found within request.才知道原來在Chrome裡面,只要request裡面含有JS code的,且只要有print出來的,都會被擋掉!!!
不知道是在第幾版才有的,感覺Chrome太聰明也不是好事,
認為還是有些事情是developer該懂的,
當然!!! 這樣的機制對end user來說是好事! 至少不會被攻擊!
