T之家 7 月 11 日消息，微软公司在 7 月补丁星期二发布的 Windows 10、Windows 11 系统累积更新中，修复了追踪编号为 CVE-2024-38112 的零日漏洞。

该零日漏洞由 Check Point Research 的安全专家李海飞（Haifei Li，音译）于 2023 年 1 月发现，是一个高度严重的 MHTML 欺骗问题，有证据表明有黑客在过去 18 个月里，利用该漏洞发起恶意攻击，可以绕过 Windows 10、Windows 11 系统的安全功能。

该专家发现网络攻击者通过分发 Windows Internet 快捷方式文件（.url），以欺骗 PDF 等看起来合法的文件，用户一旦点开这些文件，就会下载并启动 HTA 以安装密码窃取恶意软件。

Internet 快捷方式文件只是一个文本文件，其中包含各种配置设置，如显示什么图标、双击时打开什么链接等信息。保存为 .url 文件并双击后，Windows 将在默认网络浏览器中打开配置的 URL。

不过攻击者发现可以通过在 URL 指令中使用 mhtml: URI 处理程序，来强制 Internet Explorer 打开指定的 URL，如下图所示：

IT之家注：MHTML 是一种 "聚合 HTML 文档的 MIME 封装" 文件，是 Internet Explorer 中引入的一种技术，可将包括图像在内的整个网页封装成一个单一的档案。

攻击者使用 mhtml: URI 启动 URL 后，Windows 会自动在 Internet Explorer 中启动 URL，而不是默认浏览器。

漏洞研究人员 Will Dormann 称，在 Internet Explorer 中打开网页会给攻击者带来额外的好处，下载恶意文件时安全警告较少。

尽管微软早在两年前就宣布停止支持该浏览器，并以 Edge 代替其所有实用功能，但这款过时的浏览器仍可被恶意调用和利用。

. 前端需要注意哪些SEO

• 合理的 title 、 description 、 keywords ：搜索对着三项的权重逐个减⼩， title值强调重点即可，重要关键词出现不要超过2次，⽽且要靠前，不同⻚⾯ title 要有所不 同； description 把⻚⾯内容⾼度概括，⻓度合适，不可过分堆砌关键词，不同⻚⾯description 有所不同； keywords 列举出重要关键词即可
• 语义化的 HTML 代码，符合W3C规范：语义化代码让搜索引擎容易理解⽹⻚
• 重要内容 HTML 代码放在最前：搜索引擎抓取 HTML 顺序是从上到下，有的搜索引擎对抓 取⻓度有限制，保证重要内容⼀定会被抓取
• 重要内容不要⽤ js 输出：爬⾍不会执⾏js获取内容
• 少⽤ iframe ：搜索引擎不会抓取 iframe 中的内容
• ⾮装饰性图⽚必须加 alt
• 提⾼⽹站速度：⽹站速度是搜索引擎排序的⼀个重要指标

2. img的 title 和 alt 有什么区别

通常当⿏标滑动到元素上的时候显示

alt 是 的特有属性，是图⽚内容的等价描述，⽤于图⽚⽆法加载时显示、读屏器 阅读图⽚。可提图⽚⾼可访问性，除了纯装饰图⽚外都必须设置有意义的值，搜索引擎会 重点分析。

3. HTTP的⼏种请求⽅法⽤途

• GET ⽅法

发送⼀个请求来取得服务器上的某⼀资源

• POST ⽅法

向 URL 指定的资源提交数据或附加新的数据

• PUT ⽅法

跟 POST ⽅法很像，也是想服务器提交数据。但是，它们之间有不同。 PUT 指定了资 源在服务器上的位置，⽽ POST 没有

• HEAD ⽅法

只请求⻚⾯的⾸部

• DELETE ⽅法

删除服务器上的某资源

• OPTIONS ⽅法

它⽤于获取当前 URL 所⽀持的⽅法。如果请求成功，会有⼀个 Allow 的头包含类 似 “GET,POST” 这样的信息

• TRACE ⽅法

TRACE ⽅法被⽤于激发⼀个远程的，应⽤层的请求消息回路

• CONNECT ⽅法

把请求连接转换到透明的 TCP/IP 通道

4. 从浏览器地址栏输⼊url到显示⻚⾯的步骤

基础版本 浏览器根据请求的 URL 交给 DNS 域名解析，找到真实 IP ，向服务器发起请求； 服务器交给后台处理完成后返回数据，浏览器接收⽂件（ HTML、JS、CSS 、图象等）； 浏览器对加载到的资源（ HTML、JS、CSS 等）进⾏语法解析，建⽴相应的内部数据结构 （如 HTML 的 DOM ）； 载⼊解析到的资源⽂件，渲染⻚⾯，完成。

详细版

1. 在浏览器地址栏输⼊URL

2. 浏览器查看缓存，如果请求资源在缓存中并且新鲜，跳转到转码步骤

• 如果资源未缓存，发起新请求

• 如果已缓存，检验是否⾜够新鲜，⾜够新鲜直接提供给客户端，否则与服务器进⾏验 证。
• 检验新鲜通常有两个HTTP头进⾏控制 Expires 和 Cache-Control ： HTTP1.0提供Expires，值为⼀个绝对时间表示缓存新鲜⽇期 HTTP1.1增加了Cache-Control: max-age=,值为以秒为单位的最⼤新鲜时间

3. 浏览器解析URL获取协议，主机，端⼝，path

4. 浏览器组装⼀个HTTP（GET）请求报⽂

5. 浏览器获取主机ip地址，过程如下：

• 浏览器缓存
• 本机缓存
• hosts⽂件
• 路由器缓存
• ISP DNS缓存
• DNS递归查询（可能存在负载均衡导致每次IP不⼀样）

6. 打开⼀个socket与⽬标IP地址，端⼝建⽴TCP链接，三次握⼿如下：

• 客户端发送⼀个TCP的SYN=1，Seq=X的包到服务器端⼝
• 服务器发回SYN=1， ACK=X+1， Seq=Y的响应包
• 客户端发送ACK=Y+1， Seq=Z

7. TCP链接建⽴后发送HTTP请求

8. 服务器接受请求并解析，将请求转发到服务程序，如虚拟主机使⽤HTTP Host头部判断请 求的服务程序

9. 服务器检查HTTP请求头是否包含缓存验证信息如果验证缓存新鲜，返回304等对应状态码 10. 处理程序读取完整请求并准备HTTP响应，可能需要查询数据库等操作

11. 服务器将响应报⽂通过TCP连接发送回浏览器

12. 浏览器接收HTTP响应，然后根据情况选择关闭TCP连接或者保留重⽤，关闭TCP连接的四 次握⼿如下： 1. 主动⽅发送Fin=1， Ack=Z， Seq= X报⽂ 2. 被动⽅发送ACK=X+1， Seq=Z报⽂ 3. 被动⽅发送Fin=1， ACK=X， Seq=Y报⽂ 4. 主动⽅发送ACK=Y， Seq=X报⽂

13. 浏览器检查响应状态吗：是否为1XX，3XX， 4XX， 5XX，这些情况处理与2XX不同

14. 如果资源可缓存，进⾏缓存

15. 对响应进⾏解码（例如gzip压缩）

16. 根据资源类型决定如何处理（假设资源为HTML⽂档）

17. 解析HTML⽂档，构件DOM树，下载资源，构造CSSOM树，执⾏js脚本，这些操作没有严 格的先后顺序，以下分别解释

18. 构建DOM树： 1. Tokenizing：根据HTML规范将字符流解析为标记 2. Lexing：词法分析将标记转换为对象并定义属性和规则 3. DOM construction：根据HTML标记关系将对象组成DOM树

19. 解析过程中遇到图⽚、样式表、js⽂件，启动下载

20. 构建CSSOM树：

5 如何进⾏⽹站性能优化

content ⽅⾯

• 减少 HTTP 请求：合并⽂件、 CSS 精灵、 inline Image
• 减少 DNS 查询： DNS 缓存、将资源分布到恰当数量的主机名
• 减少 DOM 元素数量

Server ⽅⾯

• 使⽤ CDN
• 配置 ETag
• 对组件使⽤ Gzip 压缩

Cookie ⽅⾯

• 减⼩ cookie ⼤⼩

css ⽅⾯

• 将样式表放到⻚⾯顶部
• 不使⽤ CSS 表达式
• 使⽤link 不使⽤ @import

Javascript ⽅⾯

• 将脚本放到⻚⾯底部
• 将 javascript 和 css 从外部引⼊
• 压缩 javascript 和 css
• 删除不需要的脚本
• 减少 DOM 访问

图⽚⽅⾯

• 优化图⽚：根据实际颜⾊需要选择⾊深、压缩
• 优化 css 精灵
• 不要在 HTML 中拉伸图⽚

每天来个5题就行，关注我，每天一起学一点点。

TML 概念及常用关键字

HTML（HyperText Markup Language）是一种用于创建 Web 页面的标记语言，是构成网页的基础。HTML 使用标记（markup）描述网页内容，可以包括文字、图像、音频、视频等元素，并通过标记语言定义元素的结构和样式。以下是一些常见的 HTML 标签和属性：

• <html>: 用于定义 HTML 文档。
• <head>: 用于定义文档的头部，包括元数据（如标题、关键字和描述）。
• <body>: 用于定义文档的主体，包括网页中的实际内容。
• <div>: 用于定义文档中的块级元素，可以用于布局。
• <p>: 用于定义文档中的段落。
• <img>: 用于插入图片，可以设置图片的源、大小、边框等属性。
• <a>: 用于创建链接，可以设置链接的目标、标题、样式等属性。
• <table>: 用于创建表格，可以设置表格的行列数、样式、边框等属性。
• <form>: 用于创建表单，可以设置表单中的输入框、单选框、复选框等控件，以及表单的提交方式等属性。
• <input>: 用于创建表单中的输入框、单选框、复选框等控件，可以设置控件的类型、名称、值等属性。

HTML 常见问题

在使用 HTML 过程中，常见的问题有：

1. 浏览器兼容性问题：不同的浏览器对 HTML 标签和属性的解析方式可能不同，因此在编写 HTML 代码时需要注意兼容性问题。
2. SEO 优化问题：HTML 中的标题、关键字、描述等元数据对于网页的排名和搜索引擎优化至关重要，需要注意如何优化这些元素。
3. 表单提交安全问题：在使用表单提交数据时，需要注意数据的安全性，避免受到攻击或非法篡改。
4. 前端性能问题：HTML 中的代码量过大、图片过大、网络请求过多等因素都可能影响前端性能，需要注意优化网页性能。

HTML 使用场景

HTML 的使用场景非常广泛，主要包括以下几个方面：

1. 构建网站和 Web 应用程序：HTML 是构建网页和 Web 应用程序的基础，可以用于构建静态网页、动态网页、单页面应用程序等。
2. 邮件和消息模板：HTML 可以用于创建邮件和消息模板，可以包含图片、链接、样式等元素。
3. 文档格式化：HTML 可以用于格式化文档，例如创建带有标题、列表、表格等结
   构的文档。
4. 广告和营销活动：HTML 可以用于创建广告和营销活动，可以包含动画、交互式元素等，吸引用户的注意力。

总之，HTML 是 Web 技术中的重要组成部分，掌握 HTML 的基本概念、常用关键字、常见问题以及使用场景，对于进行 Web 开发和设计工作的人来说是非常有帮助的。

HTML编程的意义

在现在的大前端时代，HTML仍然是Web开发的基础，因此HTML的编程仍然具有重要的意义。HTML是用于创建Web页面的标记语言，它提供了页面结构、内容和样式的基础。HTML也是其他技术的基础，如CSS和JavaScript，它们与HTML一起组成了Web技术的核心。

虽然现代Web应用程序使用了更多的前端框架和库，但是这些框架和库仍然需要使用HTML来构建页面结构。HTML还支持语义化标记，这有助于改善搜索引擎优化和可访问性。HTML也可以帮助确保网站的兼容性和可靠性。

另外，HTML是一种非常容易学习的语言，即使没有编程经验的人也可以快速上手。它是Web开发入门的必备技能，也是前端开发者必须具备的基础知识。因此，HTML的编程在现在的大前端时代下仍然具有非常重要的意义。

HTML 与Vue 框架的关联，以及对Vue的意义

HTML和Vue框架有密切的关联。Vue是一个流行的JavaScript框架，用于构建现代Web应用程序。Vue的核心思想是将视图层和数据层分离，让开发者可以更加高效地构建复杂的Web界面。Vue框架的基础是HTML、CSS和JavaScript，其中HTML主要用于构建应用程序的模板。

Vue框架将HTML模板扩展为Vue模板，通过Vue的指令和表达式，可以在模板中动态地显示数据和控制视图层的行为。Vue还提供了许多内置的指令和组件，可以大大简化应用程序的开发。

使用Vue框架可以带来许多好处，包括：

1. 更高效的开发：Vue框架使开发者可以更快地构建应用程序，因为它提供了许多内置的指令和组件，可以大大简化开发过程。
2. 更好的性能：Vue框架使用虚拟DOM来最小化DOM更新的次数，从而提高应用程序的性能。
3. 更好的可维护性：由于Vue框架将视图层和数据层分离，因此代码更容易维护和扩展。
4. 更好的用户体验：Vue框架可以帮助开发者构建更流畅、更交互式的应用程序，从而提高用户体验。

因此，Vue框架对于现代Web开发非常有意义，它使开发者可以更加高效地构建复杂的Web应用程序，并提供了许多好处，如更好的性能、可维护性和用户体验。

HTML 编程中常见问题总结

1. 标签未正确嵌套或闭合：在编写HTML代码时，标签未正确嵌套或闭合是常见的问题。这会导致页面无法正确显示或出现其他问题。
2. 缺少必要属性或属性值：在编写HTML代码时，如果缺少必要属性或属性值，可能会导致页面无法正确显示或出现其他问题。
3. 不正确的文档结构：HTML文档应该遵循正确的结构，包括<html>、<head>和<body>标签等。如果不遵循正确的文档结构，可能会导致页面无法正确显示或出现其他问题。
4. 图片未正确加载：在HTML中添加图片时，需要确保文件路径和文件名正确，否则图片可能无法正确加载。
5. 不正确的链接：在HTML中添加链接时，需要确保链接的URL正确，否则链接可能无法正确跳转。
6. 不正确的表单元素：在HTML中添加表单时，需要确保表单元素的类型和属性正确，否则表单可能无法正常工作。
7. 不正确的CSS样式：在HTML中添加CSS样式时，需要确保样式正确，并且与HTML代码相匹配，否则可能会导致样式无法正常应用。
8. 不正确的JavaScript代码：在HTML中添加JavaScript代码时，需要确保代码正确，否则可能会导致页面无法正确工作或出现其他问题。

综上所述，编写HTML代码时需要注意以上常见问题，以确保页面能够正确显示和正常工作。

HTML 未来方向的预测

HTML作为Web开发的基础语言，一直在不断发展和演变。以下是未来HTML的一些可能的方向和趋势预测：

1. 更加语义化的HTML：未来HTML可能会更加注重语义化，使页面更容易理解和访问。这将有助于搜索引擎优化（SEO）和可访问性。
2. 更多的多媒体支持：HTML将进一步增强其对多媒体的支持，包括音频、视频和3D图形等，从而提供更多的视觉和交互体验。
3. 响应式设计的支持：HTML将继续支持响应式设计，以便页面可以自适应不同的设备和屏幕大小。
4. 更强的表单和用户交互功能：HTML表单和用户交互功能将进一步增强，以提供更好的用户体验和交互性。
5. 更好的Web组件支持：HTML将继续增强其对Web组件的支持，使开发者可以更容易地创建可重用的组件，并在不同的应用程序中使用它们。
6. 更好的性能和安全性：未来的HTML将提供更好的性能和安全性，使页面可以更快地加载和更安全地运行。

总之，HTML将继续发展和演变，以满足不断变化的Web开发需求，并提供更好的用户体验和开发体验。