整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
在前端开发编写html文件的时候,我们可能会很熟练的写出常见的html元素,但是如果问到某些元素的差别时,大家不一定能说的出来,今天就给大家总结一下那些很常见但容易混淆的属性。
html与css
css样式文件引入的方式有两种,分别是link标签和@import。
link语法结构
link语法结构如下,注意rel='stylesheet'属性要加上。
link语法结构
@import语法结构
当@import用在html中时,需要配合style标签
@import在html中
当@import用在css文件中,直接使用@import url()即可
@import在css中
既然link与@import都可以用来引入css,那么它们的区别是什么呢?我们又该如何选择呢?
link是XHTML标签的一种,除了可以加载css外,还可以定义其他rel属性,而@import只能用来加载css。
link标签在加载css时,与页面一同加载,而@import需要等到网页完全加载以后才进行加载。
link是XHTML标签,不存在兼容问题,而@import是在CSS2.1中提出的,对于低版本的浏览器不支持。
link标签可以通过Javascript代码去控制其属性,而@import不可以。
javascript控制link
@import支持在css文件中再次引入其他css文件,方便对多个css文件的管理。
因为@import引入的文件需要在网页完全加载后再加载,如果在网络速度较慢的情况下,会出现页面闪现,因此建议使用link标签代替@import。
html元素的readonly与disabled属性一般都是用于无法改变表单的内容,但是两者也是有区别的。
readonly属性只针对input(text,password)和textarea元素,而disabled适用于所有表单元素,包括select,radio,checkbox,button等。
在表单元素使用了disabled后,该元素的的值不会随着form的action请求传递到服务器端,而使用readonly的元素值可以传递到服务器端。
以下是一些关于两者的使用建议。
在表单中为用户预填的唯一标识码,不允许用户改动,而且需要传递到后台的使用readonly属性。
用户提交完表单元素后,等待服务器端的验证,这个过程应该将元素设为disabled,button和submit也应该设为disabled,以防止重复提交。
title属性
img标签的title属性是用来提供一些建议性的信息,在鼠标停留在上方时会显示,它对于图片来说只是一种注释性的信息,重要性偏低。
alt属性
alt属性是为不能显示图像时,用来指定替换文字,需要注意的是替换文字是用来代替文字的,而不是用来注释文字的。
属性的使用
在做图片为主的网页时,考虑到网页的SEO,应当设置图片的alt属性为图片的真实内容,而给title设置一些建议性的内容。
今天这篇文章主要将了几个html中容易混淆的属性,你有收获吗?
不管是C#还是Java,都是可以通过反编译工具,进行反编译后查看源码,这个源码虽然不是真正意义的源码,但和真正源码的相差不是很大.如果是单纯的Web还好一些.因为只需要部署到服务器上,也很少人能看到部署文件.所以相对要好一些.如果是C#做客户端的话,是需要安装到客户机上的.所以还是需要对程序做一下处理,对程序代码进行代码混淆.
这里主要使用Obfuscator这个工具,Obfuscator是源码开源.且也是国人Lex Li(已经出国)所写.
1.在Nuget中,搜索Obfuscator,并进行安装
在Nuget浏览器中,搜索Obfuscator
2.创建obfuscar.xml,并设置该文件为较新复制
在属性中,设置文件较新复制
3. 在obfuscar.xml中指定配置信息
<?xml version="1.0" encoding="utf-8" ?>
<Obfuscator>
<!--输入路径-->
<Var name="InPath" value="." />
<!--输出路径:加密混淆过的路径-->
<Var name="OutPath" value=".\Obfuscator_Output" />
<!--混淆代码的参数-->
<Var name="ReuseNames" value="false" />
<Var name="HideStrings" value="false" />
<Var name="KeepPublicApi" value="false" />
<Var name="HidePrivateApi" value="true" />
<!--要混淆的模块-->
<Module file="$(InPath)\ConsoleApp2.exe" />
</Obfuscator>参数信息,可以看这里: https://docs.obfuscar.com/getting-started/configuration.html4.在程序生成之后调用Obfuscar.通过VS的生成事件实现.
在VS中生成后事件,调用Obfusacr 并加载obfuscar.xml
5.在Obfuscator_Output目录,通过反编译工具JustDecompilte查看混淆过的程序.
使用反编译工具JustDecompilte查看混淆过的代码
Obfuscator可以不在VS中直接使用,Obfuscator是一个单纯的代码混淆工具. 上边说过Obfuscator代码是开源的.
在GitHub项目地址: git@github.com:obfuscar/obfuscar.git
在Gitee项目地址: https://gitee.com/junweihuang_admin/obfuscar.git因为Gitee速度要快于GitHub,如果Gitee上有的话,还是优先使用Gitee. 如果Gitee上面没有的话,就得去Github上.打开Obfuscar.sln解决方案.进行编译.发现是无法编译成功的.发现Obfuscator依赖Baml项目中.
在Baml项目中,发现这几个不存在的.
发现Baml项目中,有4个文件不存在
在Obfuscator项目中的Obfuscator.cs发现ILSpy.BamlDecompiler.Baml命名:
发现了ILSpy.BamlDecompiler.Baml这个命名空间
便怀疑是不是缺的这几个文件在IlSpy中呀!于是便把IlSpy源码下载到本地,最终找到了这几个文件.将这几个文件拷贝到Baml项目中,尝试编译,果真是编译成功了.
生成后的目录:
Obfuscar代码混淆工具,只需要将要混淆的程序放入Input路径下,在obfuscar.xml修改指定,双击run.bat就可以了
Obfuscar.Console.exe使用:
止核心代码泄露以及代码合并
每日辛辛苦苦码的代码被轻松破解?
机密核心模块被盗用?
数据库地址和语句暴露?
…… 这些都是由代码未混淆加密,从而进行泄露的
我们目前DLL文件存在的风险:
一、直接引用
二、反编译
三、反射
如果DLL一点措施都不做的话,上面任意一种都可以达到破解目的的。
如果通过反编译软件:ILSpy、Reflector,轻而易举,那相当于直接copy代码了。
那么要怎么样才能保护我们的代码呢?
今天带大家进入代码的另一个世界,代码混淆与DLL融合
目录:
01 混淆原理
反编译软件就是能让你看到代码,进行Copy使用,那怎么让它不能看,不能调呢。这个时候就需要说一说模糊处理。
模糊处理:意在引起混淆,实质上是将在代码中找到的标识符重命名为不可读的内容。它们可能使用哈希技术,或者对字符集进行算术偏移,将字符变为不可读字符或不可输出字符。这些技术虽然表面上很有效,但是它们都是可逆的,因此很难起到保护作用。
编译原理
模糊处理这一过程应用于已编译的 MSIL 代码而不是应用于源代码(源代码不会不会被读取和更改), 经过模糊处理的在功能上等同于你的源代码,它在公共语言运行库 (CLR) 上执行并产生与原始 MSIL 代码相同的结果。(但是,它是不可逆的,即使通过反编译和原始的源代码相比,它在语义上也将有重大不同。)
Dotfuscator的定位
代码安全已经演变出许多加密、加壳的软件,如:PreEmptive ,它是得到Micorsoft和Sun公司的认可的以Java和.Net混淆器出名的公司,其中比较出名的软件: PreEmptive Protection Dotfuscator
Dotfuscator工具,它使用很多其他颇具独创性的 “ 引起混淆 ”的算法,使得代码几乎不能被反编译(还是存在一定机率可逆,但代价太大,得不偿失)。
Dotfuscator工具主要使用模糊处理这种技术能够对程序集中的符号、变量、字符串等进行无迹可寻的重命名,并提供很多其他手段,从而阻止进行反编译。
Dotfuscator安装
VS自带混淆软件:Dotfuscator,在VS2019前版本都会自动安装,2019版本就需要手动安装了,可搜索: Dotfuscator,预计安装10分钟,安装完成后,需要进行邮箱注册才可以使用,但非正式版限制太多。
介绍的是一款破解版:DotfuscatorPro 4.9
安装后使用时,它依赖.Net Framework 2.0和3.5,会进行第一次更新,需确认windows的自动更新服务是打开的
DotfuscatorPro 4.9
02 如何对代码加密
1、创建新的工程文件。INPUT 选项里 选择你需要混淆加密的 DLL、EXE文件:
2、进入Settings选项 –> 把 Disable String Encryption 设为 NO,即启用字符串加密;
检查 Disable Control flow、Dsiable Renaming 也为 NO,即保证控制流和混淆功能打开,其他默认。
3、进入Rename-> Options选项 勾选“use enhanced overload induction”(使用增强模式),
注意:不要勾选下方的“ Do not suppress on serializable types”,即序列化类型的变量不加密,否则编译后可能异常;
“Renaming Scheme” 选择“Unprintable”(不可打印字符,即乱码),也可以选择其他如小写字母、大写字符、数字的方式
4、进入String Encryption 选项 include里勾选需要字符串加密的工程文件EXE、DLL等
5、转入Output目录,点击Build,查看输出结果为 Build Finshed 即为成功。
操作步骤
提醒:编译过程中可能提示会代码框架为4.5及以上,需要手动配置编译环境的路径,在Settings ->Porjcet properties 设置编译环境地址,如下图:
反编译前后对比
Dotfuscator 可对代码中的变量值进行模糊处理,大大增加阅读难度,反编译出来的代码也如混淆后的代码
混淆前后对比
甚至连exe文件都能执行模糊处理
混淆前后对比
03 代码融合
有时系统中我们关联了太多第三方DLL,以及自身建了多个类库,等到系统发布时发现DLL文件有几十个,实在太夸张。万一丢掉一个未复制, 整个程序都无法运行。
微软推出一款ILMerge打包合并工具,它可以将程序集合并到一个目标程序集中。输入程序集列表中的第一个程序集是主程序集。当主程序集是可执行文件时,目标程序集将创建为具有与主程序集相同的入口点的可执行文件。此外,如果主程序集具有强名称,并且提供了.snk文件,则使用指定的键重新签名目标程序集,以使其具有强名称。
它是命令行形式运行:
1、打开cmd,转至安装目录(最好是以管理员权限运行)
2、ILMerge.exe /targetplatform:v4,“.NETFramework安装目录” /target:winexe /union /xmldocs /copyattrs /allowMultiple /internalize /closed /ndebug /out:“新文件” /log “dll1” “dll2” /log:“日志目录”
参数说明:
/targetplatform 输出文件的.net运行版本
/target 生成的文件,winexe应用程序,library DLL文件
/closed 排除引用文件相互引用
/log 需要合并的DLL或EXE,需要把所有的合并的EXE或DLL囊括进来
/ndebug 为非调试版本,即发布版本,如果去掉,将会生成.pdb拓展名的调试文件
/log 日志,可以不加提醒:要集成的程序最好是release过的,不然会出一些莫名其妙的问题。
图形界面
我们找到一款图形化界面,可以轻松合并
图形工具
合并后的反编译
图形界面使用: https://jingyan.baidu.com/article/59a015e3204d87f794886529.html
那看到这里,抛出2个问题,供大家讨论:
1、打包工具还能做什么呢?
2、混淆加密后真的安全?
上一篇:代码安全之文件上传漏洞 下一篇:代码安全之漏洞扫描
*请认真填写需求信息,我们会在24小时内与您取得联系。
