最近因為資安公司要求,要把 jQuery 升級到最新版
網路查了一下,似乎 3.5 版以後, XSS 才算是改善很多
目前最新版本是 3.7.0,對於原本就使用 3 以上版本專案影響就不大,所有 function 沿用上沒有問題
但是有些舊專案使用 2.X 甚至 1.X 升級到 3.7.0 版之後就會有些功能掛掉
經測試,首當其衝的就是 $(window).load 不能使用,更精準一點應該是 .load() 不能使用
檢查 jquery 過期網頁 https://api.jquery.com/category/deprecated/
發現 .load() 是 1.8 版以後 deprecated,但我 2.2.4 用很久用爽爽
我想應該是 jquery 為了相容問題,一直到跨版本才真的拿掉
也就是 1.X 宣告 deprecated 的功能,到 3.X 才真的移除
(請看附圖)
所以我就鴕鳥的找 1.X deprecated 然後可能會用的 function 處理
(若有 tag "Removed" 就是已移除,這樣找比較快)
大致上專案搜尋字串應該就能處理
但有些可能是其他第三方 jquery物件 例如 jquery-ui ,會用到以上功能
這時可能要去該物件看有無對應升級版
網路查了一下,似乎 3.5 版以後, XSS 才算是改善很多
目前最新版本是 3.7.0,對於原本就使用 3 以上版本專案影響就不大,所有 function 沿用上沒有問題
但是有些舊專案使用 2.X 甚至 1.X 升級到 3.7.0 版之後就會有些功能掛掉
經測試,首當其衝的就是 $(window).load 不能使用,更精準一點應該是 .load() 不能使用
檢查 jquery 過期網頁 https://api.jquery.com/category/deprecated/
發現 .load() 是 1.8 版以後 deprecated,但我 2.2.4 用很久用爽爽
我想應該是 jquery 為了相容問題,一直到跨版本才真的拿掉
也就是 1.X 宣告 deprecated 的功能,到 3.X 才真的移除
(請看附圖)
所以我就鴕鳥的找 1.X deprecated 然後可能會用的 function 處理
(若有 tag "Removed" 就是已移除,這樣找比較快)
.andSelf()
.live()
.die()
.error()
.load()
.unload()
.size()
.toggle()
大致上專案搜尋字串應該就能處理
但有些可能是其他第三方 jquery物件 例如 jquery-ui ,會用到以上功能
這時可能要去該物件看有無對應升級版
darren, 2023/7/20 上午 11:08:33
由於匯入91訂單,如果是一筆一筆抓,會耗費比較久的時間
下列寫法是,開兩條 thread 平行處理,可以節省約一半時間
下列寫法是,開兩條 thread 平行處理,可以節省約一半時間
public ConcurrentBag<V2SalesOrderGetDataList> ConcurencyGetApp91OrderDetails(List<string> TMCodes, int shopId, ref ConcurrentBag<string> orderErrMsgs)
{
#region 平行查詢
ConcurrentBag<V2SalesOrderGetDataList> result = new ConcurrentBag<V2SalesOrderGetDataList>();
ConcurrentBag<string> errs = new ConcurrentBag<string>();
ConcurrentQueue<string> TMCodeQueues = new ConcurrentQueue<string>();
TMCodes.ForEach(x => TMCodeQueues.Enqueue(x));
Action searchOrderDetail = () =>
{
if (!TMCodeQueues.IsEmpty)
{
string TMCode = string.Empty;
while (TMCodeQueues.TryDequeue(out TMCode))
{
V2SalesOrderGetReqModel reqModel = new V2SalesOrderGetReqModel()
{
ShopId = shopId,
TGCode = null,
TMCode = TMCode,
TSCode = null,
};
try
{
V2SalesOrderGet91API req = new V2SalesOrderGet91API();
var resp = req.Execute(reqModel, shopId);
if (resp.Status == "Success")
{
foreach (var l in resp.Data.List)
{
result.Add(l);
}
}
else
{
//主單編號 , 錯誤原因
errs.Add(TMCode + " , " + resp.ErrorMessage);
}
}
catch (Exception ex)
{
errs.Add(TMCode + " , " + ex.Message);
}
}
}
};
//指派Thread
Parallel.Invoke(searchOrderDetail, searchOrderDetail);
#endregion
//查詢失敗
orderErrMsgs = errs;
return result;
}
darren, 2023/6/19 下午 04:47:30
最近剛好發生跟 MS SQL 有關的狀況,所以就記錄一下
1. where 字串欄位要不要加 N'' (unicode)
範例: Select * from OrderDetail where OrderDetailId= N'20220923084533'
基本上,欄位是 char、varchar 就不需要。nvarchar nchar 就要加 N
這好像是廢話,但往往寫程式會沒注意,甚至是會覺得通通加 N 比較沒問題
但如果欄位牽涉到 index 就會影響搜尋 ,所以寫程式當下要注意
2. 當欄位有 null 值,where [clumnName] not in ('A') 也會排除 null 的狀況
直覺上,只要下 not in (..) 那會其他項目都會抓出,但是實際上,該欄位是 null的資料也會被排除
因為資料庫一旦你對某欄位下條件,他就會排除 null 的欄位,除非你指定 [clumnName] is null 才會有資料
1. where 字串欄位要不要加 N'' (unicode)
範例: Select * from OrderDetail where OrderDetailId= N'20220923084533'
基本上,欄位是 char、varchar 就不需要。nvarchar nchar 就要加 N
這好像是廢話,但往往寫程式會沒注意,甚至是會覺得通通加 N 比較沒問題
但如果欄位牽涉到 index 就會影響搜尋 ,所以寫程式當下要注意
-- 假設 OrderDetailId 是 varchar(20)
-- OrderDetail 有千萬筆資料
Select * from OrderDetail where OrderDetailId= N'20220923084533'
-- 結果跑超級久 (未使用 PK 找,掃整個 table)
Select * from OrderDetail where OrderDetailId= '20220923084533'
-- 結果一下就出來 (使用 PK 找)
-- **資料庫設計最好以數值來當 key 比較好
2. 當欄位有 null 值,where [clumnName] not in ('A') 也會排除 null 的狀況
直覺上,只要下 not in (..) 那會其他項目都會抓出,但是實際上,該欄位是 null的資料也會被排除
因為資料庫一旦你對某欄位下條件,他就會排除 null 的欄位,除非你指定 [clumnName] is null 才會有資料
darren, 2022/9/23 下午 04:06:22
若網站是使用 SVN update 方式更新網站,為了防止被外部讀取到 /.svn/ 目錄內容
要在 web.config 片段加上以下內容
git 也是一樣的方式
可以參考此網址
https://www.petefreitag.com/item/823.cfm
要在 web.config 片段加上以下內容
<configuration>
<system.webServer>
<security>
<requestFiltering>
<hiddenSegments>
<add segment=".svn" />
</hiddenSegments>
</requestFiltering>
</security>
</system.webServer>
</configuration>
git 也是一樣的方式
可以參考此網址
https://www.petefreitag.com/item/823.cfm
darren, 2022/7/20 下午 04:58:58
為了遏止垃圾郵件以及釣魚郵件,SPAM組織有定義一些規則,這些規則主要是經由 DNS 反查相關設定,看郵件來源是不是沒有問題。其中一個就是 SPF 設定。
SPF 設定(txt)我這邊就不多說,網路上很多資源有相關介紹,基本上 他的設定就會像是
"v=spf1 include:_spf.mx.cloudflare.net ~all"
中間 include: 就是寄件來源的 domain, include 也可以設定多筆,
也可以設定 ip4 格式或是 mx 所以他可能會長得像這樣
"v=spf1 include:_spf.emfwd.name-services.com include:amazonses.com ip4:112.121.xxx.0/24 ?all"
最後的 all 前面用 ? - ~ 都有他的意義,請參考網路上的資源
在這裡不管是 include 或是 ip4 設定,都是寄件者的IP來源白名單。
其工作原理大致是
1. 郵件伺服器收到一封email後,抓出寄件者的 email domain
2. 由 email domain 去 DNS 檢查 spf 設定,若有,就從裡面IP來源白名單,比對寄信來源的伺服器IP是不是在白名單
3. 若不是白名單,郵件伺服器可能直接拒收(收件者完全找不到新件),或是列入垃圾郵件
---------------------------------------------------------
對於我們公司的客戶而言,若他的網站通知信不是經由 aws ses寄送
是經由我們公司建立的 smtp 寄送,其實是可以請他們去 DNS 做一下設定
而且最好建議寄件者是使用子網域,避免跟 root 網域的 email 設定有衝突
例如 service@ec.examplesite.com.tw
這樣就可以請客戶去 DNS ec.example.com.tw 設定 spf txt
"v=spf1 ip4:112.121.xxx.0/24 ?all"
這樣就可以減少email變成垃圾郵件的狀況
不過以上僅限在 "通知信"範疇
如果客戶要大量寄送 EDM,還是要請他們是用外部資源, aws ses 或是 mail trimp, 電子豹
不要使用內建的 SMTP 主機,因為同一IP同時發送大量郵件,也會被 SPAM 組織列為黑名單
SPF 設定(txt)我這邊就不多說,網路上很多資源有相關介紹,基本上 他的設定就會像是
"v=spf1 include:_spf.mx.cloudflare.net ~all"
中間 include: 就是寄件來源的 domain, include 也可以設定多筆,
也可以設定 ip4 格式或是 mx 所以他可能會長得像這樣
"v=spf1 include:_spf.emfwd.name-services.com include:amazonses.com ip4:112.121.xxx.0/24 ?all"
最後的 all 前面用 ? - ~ 都有他的意義,請參考網路上的資源
在這裡不管是 include 或是 ip4 設定,都是寄件者的IP來源白名單。
其工作原理大致是
1. 郵件伺服器收到一封email後,抓出寄件者的 email domain
2. 由 email domain 去 DNS 檢查 spf 設定,若有,就從裡面IP來源白名單,比對寄信來源的伺服器IP是不是在白名單
3. 若不是白名單,郵件伺服器可能直接拒收(收件者完全找不到新件),或是列入垃圾郵件
---------------------------------------------------------
對於我們公司的客戶而言,若他的網站通知信不是經由 aws ses寄送
是經由我們公司建立的 smtp 寄送,其實是可以請他們去 DNS 做一下設定
而且最好建議寄件者是使用子網域,避免跟 root 網域的 email 設定有衝突
例如 service@ec.examplesite.com.tw
這樣就可以請客戶去 DNS ec.example.com.tw 設定 spf txt
"v=spf1 ip4:112.121.xxx.0/24 ?all"
這樣就可以減少email變成垃圾郵件的狀況
不過以上僅限在 "通知信"範疇
如果客戶要大量寄送 EDM,還是要請他們是用外部資源, aws ses 或是 mail trimp, 電子豹
不要使用內建的 SMTP 主機,因為同一IP同時發送大量郵件,也會被 SPAM 組織列為黑名單
darren, 2022/5/30 下午 01:06:51
最近發生 email 有人輸入中文可以過的狀況。測試後才發現 \w 在 C# 可以輸入中文驗證過
把 \w 換成 A-Za-z0-9_ 就可以驗證過
可是搬到 js 處理,就可以過
我想這是 C# 把 \w 當作 [word] 處理的關係,非符號都當作是文字
其他程式語言沒有測試過。不知是不是 c# 獨有的狀況
string strPattern = @"^[\w\.-]{1,}@[a-zA-Z0-9][\w\.-]*\.[a-zA-Z][a-zA-Z\.]*[a-zA-Z]$";
System.Text.RegularExpressions.Regex regEx = new System.Text.RegularExpressions.Regex(strPattern);
string email = "darrenTEST@gmail.com";
Response.Write(email + " - > " + regEx.IsMatch(email) + "<br/>");
email = "darren_東@gmail.com";
Response.Write(email + " - > " + regEx.IsMatch(email) + "<br/>");
// darrenTEST@gmail.com - > True
// darren_東@gmail.com - > True把 \w 換成 A-Za-z0-9_ 就可以驗證過
string strPattern = @"^[a-zA-Z0-9_\.-]{1,}@[a-zA-Z0-9][\w\.-]*\.[a-zA-Z][a-zA-Z\.]*[a-zA-Z]$";
System.Text.RegularExpressions.Regex regEx = new System.Text.RegularExpressions.Regex(strPattern);
string email = "darrenTEST@gmail.com";
Response.Write(email + " - > " + regEx.IsMatch(email) + "<br/>");
email = "darren_東@gmail.com";
Response.Write(email + " - > " + regEx.IsMatch(email) + "<br/>");
// darrenTEST@gmail.com - > True
// darren_東@gmail.com - > False
可是搬到 js 處理,就可以過
const regex = /^[\w\.-]{1,}@[a-zA-Z0-9][\w\.-]*\.[a-zA-Z][a-zA-Z\.]*[a-zA-Z]$/;
console.log(regex.test('darrenTEST@gmail.com')); // true
console.log(regex.test('darren_東@gmail.com')); // false我想這是 C# 把 \w 當作 [word] 處理的關係,非符號都當作是文字
其他程式語言沒有測試過。不知是不是 c# 獨有的狀況
darren, 2022/4/27 上午 09:29:25
由於 CDN 模式下,網站在判別 client ip 是透過 X-Forwarded-For 來判別來源IP
但因為 X-Forwarded-For 是可以偽裝的 header value,所以 hacker 會在裡面帶入特殊的IP,例如 127.0.0.1
這在正常 CDN 模式下,基本上應該沒有問題,因為程式上抓到的 X-Forwarded-For 會是最後一組IP
但萬一 client 端 不走CDN直連主機,開發者抓 client IP 是先抓 X-Forwarded-For,而不判斷網站是不是在 CDN 模式下
就會誤判來源IP。
解決方式可分為兩方面
1. 抓 X-Forworded-For 的 function 要判別內網IP (包括127.0.0.1),剔除掉
2. 網站程式判別白名單時,要用 Reuest.UserHostAddress 來判別內部IP
使用 ClientIP_After_CDN 只能用來判別外部IP
* 如果允許IP清單寫在系統參數或資料庫,但內容是 (內網IP + 外網IP)混用,最好是分開來
另外有一個防火牆的設定有關,也是建置網站很重要的設定
也就是設定 policy 時 wan -> virtual ip ,要記得把 NAT 關掉,
不然網站抓到的 UserHostAddress 都會是 190.168.x.254 之類的IP,這樣問題就大了。
但因為 X-Forwarded-For 是可以偽裝的 header value,所以 hacker 會在裡面帶入特殊的IP,例如 127.0.0.1
這在正常 CDN 模式下,基本上應該沒有問題,因為程式上抓到的 X-Forwarded-For 會是最後一組IP
但萬一 client 端 不走CDN直連主機,開發者抓 client IP 是先抓 X-Forwarded-For,而不判斷網站是不是在 CDN 模式下
就會誤判來源IP。
解決方式可分為兩方面
1. 抓 X-Forworded-For 的 function 要判別內網IP (包括127.0.0.1),剔除掉
2. 網站程式判別白名單時,要用 Reuest.UserHostAddress 來判別內部IP
使用 ClientIP_After_CDN 只能用來判別外部IP
* 如果允許IP清單寫在系統參數或資料庫,但內容是 (內網IP + 外網IP)混用,最好是分開來
另外有一個防火牆的設定有關,也是建置網站很重要的設定
也就是設定 policy 時 wan -> virtual ip ,要記得把 NAT 關掉,
不然網站抓到的 UserHostAddress 都會是 190.168.x.254 之類的IP,這樣問題就大了。
darren, 2022/3/1 下午 02:11:45
今天協助小三敦化門市印表機問題,有一台分享印表機無法列印
處理方式要在分享印表機的主機上設定 registry + 服務的 printer spooler 重啟
請參考 https://www.youtube.com/watch?v=XouW14RUJxs
處理方式要在分享印表機的主機上設定 registry + 服務的 printer spooler 重啟
請參考 https://www.youtube.com/watch?v=XouW14RUJxs
darren, 2021/12/22 下午 05:31:42
今天小三的網站發生怪異的情況,造成網站莫名其妙跑出天天簽到的彈跳視窗
使用 set 條件,但產出的SQL卻是沒有 where 字串,這情況我是第一次遇到
是不是產出SQL時這中間用到 static 物件,可能要查一下
-----------------------------
看樣子是網站第一次使用DB物件時,兩個 thread 同時在跑會造成這樣的現象
這裡應該要 lock
var oEM = new EverydayMain();
oEM.EndDate__StartOrEqual = DateTime.Now.Date; //只要限結束日期就好. (以日為單位)
oEM.Type = EN.Type.彈出式;
oEM.QuerySql();
// 卻產出SQL Select * from [Everyday_Main] With(NoLock)
// 但應該產出 Select * from [Everyday_Main] With(NoLock) Where [EndDate] >= Convert(datetime, '2021-07-15T00:00:00') and [EN_Type] = 200
使用 set 條件,但產出的SQL卻是沒有 where 字串,這情況我是第一次遇到
是不是產出SQL時這中間用到 static 物件,可能要查一下
-----------------------------
private static Hashtable _htTypeDefines;
public static Hashtable htTypeDefines
{
get
{
if (_htTypeDefines == null)
{
_htTypeDefines = new Hashtable();
_htTypeDefines.Add("Id", "int");
看樣子是網站第一次使用DB物件時,兩個 thread 同時在跑會造成這樣的現象
這裡應該要 lock
darren, 2021/7/15 下午 12:32:38
因為希望大家 commit 程式都要寫一下訊息紀錄
但有人就是手快就 commit 了 ,事後要改卻跳出訊息告知不可以修改
查一下發現不是SVN設定檔加個勾勾就可以處理的,是要去 hooks 設定寫一段指令碼才可以
要去server端 去 Repository > 選 Properties > Hooks > 編輯 Pre-reversion property change hook
輸入以下指令
但有人就是手快就 commit 了 ,事後要改卻跳出訊息告知不可以修改
查一下發現不是SVN設定檔加個勾勾就可以處理的,是要去 hooks 設定寫一段指令碼才可以
要去server端 去 Repository > 選 Properties > Hooks > 編輯 Pre-reversion property change hook
輸入以下指令
rem Only allow log messages to be changed.
if "%4" == "svn:log" exit 0
echo Property '%4' cannot be changed >&2
exit 1
darren, 2020/3/20 下午 04:06:59