攻击者现可绕过MicrosoftEdge、Google

原标题：攻击者现可绕过MicrosoftEdge、Google Chrome和Safari的内容安全策略

就在前两天，Talos发布了Microsoft Edge浏览器的安全漏洞细节，受此漏洞影响的还包括旧版本Google Chrome（CVE-2017-5033）以及基于Webkit的浏览器（例如苹果的Safari：CVE-2017-2419）。攻击者将能够利用该漏洞绕过服务器设置的内容安全策略，并最终窃取到目标主机中存储的机密信息。

概述

在现代Web应用程序中，最基本的一种安全保护机制就是我们所谓的同源策略了，而同源策略规定了哪些资源可以被应用程序代码所访问到。简单来说，同源策略的本质就是它只能够允许来自特定服务器的代码访问Web资源。

就好比一个脚本，假设这个脚本可以在Web服务器（good.example.com）中运行，那么它就能够访问相同服务器中的数

想读更多 ->

Prepack详细介绍及微信小程序优化的新思路

原标题：Prepack详细介绍及微信小程序优化的新思路

前言

Prepack前几个月刚出来的时候已经得到了前端界的大范围关注，而在不久之后又逐渐退出了人们的视线。此时这篇文章出来可能显得有些滞后，个人还是比较看好它未来对于前端代码预编译优化所带来的收益。所以再详细地介绍一下Prepack和它给我带来的思考。

在前端技术迭代更新速度较快、前端人力宝贵的情况下，面对新技术的不断涌现我们需要保持冷静和严谨的态度去接受这些新技术，所以一般在一个新技术涌现时，我都会先弄清楚这几个问题再考虑是否要推动和更迭现有的技术栈：

是什么？

解决了什么问题？

带来了什么新的问题？

新的问题和解决的问题在目前场景下权重是怎么样的？

投入产出比如何？

带着这几个问题进入正题。

一、什么是Prepack

官网的第一句是：A tool for making Java code run faster. —— 一个让Java代码运行更快的工具。

实际上Prepack 就是一

想读更多 ->

Java基础之走进JAVA！

原标题：Java基础之走进JAVA！

1、JAVA的跨平台性

比如我现在以游戏开发者的身份，要使用某一种编程语言编写一套游戏软件，为了能在不同平台都能玩该游戏，我得为每一种平台制作一份可执行文件，这样就非常的麻烦了，对于每一个平台都有着自己独特的语言开发环境，所以一个程序是不可以在其他平台上面运行的，要实现在不同的平台上面运行，应该在各个平台的电脑上装上模拟器，让跨平台的文件运行在模拟器里.

2、JDK-JRE-JVM

JRE(Java Runtime Environment)：Java运行环境，如果要运行Java程序，就需要JRE的支持，JRE里包含JVM。

JDK(Java Development Kit)：Java开发工具，包含开发Java程序的所有工具,如javac和java等，JDK里包含JRE。

JV

想读更多 ->

Java初学者基础问题及答案汇总

原标题：Java初学者基础问题及答案汇总

Java初学者基础问题及答案汇总

Java初学者最全的基础问题及答案汇总

○

1、什么是Java、Java2、JDK？JDK后面的1.3、1.4.2版本号又是怎么回事?

答：Java是一种通用的，并发的，强类型的，面向对象的编程语言(摘自Java规范第二版) JDK是Sun公司分发的免费Java开发工具，正式名称为J2SDK(Java2 Softw are Develop Kit)。

2、什么是JRE/J2RE?

答：J2RE是Java2 Runtime Environment，即Java运行环境，有时简称JRE。

如果你只需要运行Java程序或Applet，下载并安装它即可。

如果你要自行开发Java软件，请下载JDK。在JDK中附带有J2RE。

注意由于Microsoft对Java的支持不完全，请不要使用IE自带的虚拟机来运行Applet，务必安装一个J2RE或JDK

3、学习Java用什么工具比较好?

答：小博

想读更多 ->

Java继承

原标题：Java继承

继承与合成基本概念

继承：可以基于已经存在的类构造一个新类。继承已经存在的类就可以复用这些类的方法和域。在此基础上，可以添加新的方法和域，从而扩充了类的功能。

合成：在新类里创建原有的对象称为合成。这种方式可以重复利用现有的代码而不更改它的形式。

1.继承的语法

关键字extends表明新类派生于一个已经存在的类。已存在的类称为父类或基类，新类称为子类或派生类。例如:

classStudentextendsPerson{}

类Student继承了Person，Person类称为父类或基类，Student类称为子类或派生类。

2.合成的语法

合成比较简单，就是在一个类中创建一个已经存在的类。

classStudent{Dogdog; }上溯造型

1.基本概念

继承的作用在于代码的复用。由于继承意味着父类的所有方法亦可在子类中使用，所以发给父类的消息亦可发给衍生类。如果Person类中有一个eat方法，那么Student类中也会有这个方法，

想读更多 ->

源伞Pinpoint 1.3产品发布会震撼来袭

原标题：源伞Pinpoint 1.3产品发布会震撼来袭

　　2017年9月15日上午10点，源伞科技在深圳中洲万豪酒店举办了核心产品Pinpoint的产品发布会，正式对外发布了最新的Pinpoint 1.3版本。Pinpoint是一款基于人工智能的针对原代码质量和安全缺陷全自动分析和管理系统，可无缝接入到软件开发人员和测试人员的现有工作流程中，全面分析和管理程序源码中数百种常见的高危程序缺陷，并清晰的展示缺陷触发的原因。

Pinpoint1.3，像人一样理解代码

编译构建系统

目前最初完全支持bazel构建系统和基于source的构建方案；完全兼容gcc，arm-none-eabi-gcc，clang的命令行选项；改进编译器，更好的兼容各种版本语法问题；自定义编译流程重放，可以自由构建代码片段，支持接入第三方静态分析工具，提供源代码索引和统计供分析使用。

代码分析系统

包括307个C/C++缺陷检测器，覆盖95条CWE规则；支持四级分析系统，从语法缺陷模式匹配器，符号执行器，快速全局分析器到深度智能分析器；与之前版本相比，深度分析的智能分析器速度提高四

想读更多 ->

前端常见跨域解决方案（全）

原标题：前端常见跨域解决方案（全）

什么是跨域？

跨域是指一个域下的文档或脚本试图去请求另一个域下的资源，这里跨域是广义的。

广义的跨域：

资源跳转： A链接、重定向、表单提交

资源嵌入： <link>、 <>、 <img>、 <frame>等dom标签，还有样式中background:url()、@font-face()等文件外链

脚本请求： js发起的ajax请求、dom和js对象的跨域操作等

其实我们通常所说的跨域是狭义的，是由浏览器同源策略限制的一类请求场景。

什么是同源策略？

同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。

同源策略限制以下几种行为：

ARM裸机开发实战

原标题：ARM裸机开发实战

韦东山团队手把手教你8周玩转ARM裸机实战，

进入嵌入式高薪职业门槛，技术魅力让你学到欲罢不能！

【在学习嵌入式时，你是否也遇到过以下问题？】

C51单片机太简单没有竞争力没“钱途”怎么办？

无Linux操作基础、无单片机开发经验、无硬件知识，如何学习嵌入式Linux？

到处求推荐有完整例程的书和视频，系统的学习ARM裸机编程？

本期韦东山老师推出的《8周玩转ARM裸机实战》课程将帮你以上问题一扫而光！

【学习本课程，你能GET到哪些技能？】

深入理解ARM裸板程序原理，通吃所有单片机开发；

掌握基本硬件知识，能看懂原理图；

理解各种硬件协议(i2c, spi, lcd等)；

掌握编写程序操作硬件的方法；

实战编程操练玩转触摸屏和传感器等各模块。

【课程特色】

不同于STM32等单片机教程，分析所有技术细节；

由浅入深，三条线路贯穿始终；

实战性强，现

想读更多 ->

从Caffe2到TensorFlow，十种框架构建相同神

原标题：从Caffe2到TensorFlow，十种框架构建相同神经网络效率对比

近日，Ilia Karmanov 在 Medium 发表了一篇题为《Neural Net in 10 Frameworks (Lessons Learned)》的文章，其内容源自一个 GitHub 项目，其中作者通过构建同一个神经网络，对比了当前最流行的 10 种深度学习框架，其中 Caffe2 和 MXNet 在准确度和训练时长上处于领先位置。该项目甚至还得到了 FAIR 研究者、各大框架创始人（比如贾扬清）的支持。机器之心对该文进行了编译。

项目GitHub链接：https://github.com/ilkarman/DeepLearningFrameworks

除却所有的技术元素之外，我发现关于这一项目最有趣的事情是来自开源社区的惊人贡献。社区发起的请求（pull request）、提出的问题（issue）非常有助于在准确度和训练时间方面统合所有框架。看到 FAIR 研究者、框架的创始人（比如贾扬清）以及 GitHub 的其他用户所做出的贡献，我很震惊。没有他们，就不会有这个项目的完成。他们不仅给出了代码建议，还提

想读更多 ->

Java中的static关键字解析

原标题：Java中的static关键字解析

static关键字是很多朋友在编写代码和阅读代码时碰到的比较难以理解的一个关键字，也是各大公司的面试官喜欢在面试时问到的知识点之一。下面就先讲述一下static关键字的用法和平常容易误解的地方，最后列举了一些面试笔试中常见的关于static的考题。

以下是本文的目录大纲：

一.static关键字的用途

二.static关键字的误区

三.常见的笔试面试题

“static方法就是没有this的方法。在static方法内部不能调用非静态方法，反过来是可以的。而且可以在没有创建任何对象的前提下，仅仅通过类本身来调用static方法。这实际上正是static方法的主要用途。”

这段话虽然只是说明了static方法的特殊之处，但是可以看出static关键字的基本作用，简而言之，一句话来描述就是：

方便在没有创建对象的情况下来进行调用（方法/变量）。

很显然，被static关键字修饰的方法

想读更多 ->