博客

HttpOnly cookie

晚上看最新的 Fx trunk build 的 changelog。看到这么一条 MSIE-extension: HttpOnly cookie attribute for cross-site scripting vulnerability prevention..

追到 bugzilla 的描述里面一看，原来是这样：

浏览器访问一个页面时传送的 cookie 是 script 可读的（比如 javascript 就可以用 document.cookie 访问）。MSIE 定义的这个协议扩展就是设置脚本对该文档页面的 cookie 的访问权限，可以说是相当的有用。

大概两三个月前就听搜狐社区的同事介绍经验，说曾有人在论坛里面贴了一个 flash，用它来盗取用户的 cookie，后来他们只好把 cookie 设置的和客户端 IP 相关，做 cookie 校验的时候还看看 IP 是否一致。HttpOnly cookie 就是针对这种漏洞而出的方案，未来 firefox 3 也将支持这个功能，什么时候写入 RFC 成为标准的一部分就好了。

现在 sohu 通行证已经在 https 连接上使用了 secure 这个选项，下一版本的通行证技术方案将增加 HttpOnly 这个技术。

避免 IE cache

很简单，设置 3 项 http header 就可以

Cache-Control: no-cache
Pragma: no-cache
Expires: -1

见 http://support.microsoft.com/kb/234067

这样就不必每次请求都要给 URL 加一个时间戳以避免缓存了......

本来一直以为常规缓存静态文件的方案是 304 响应，最近才发现 http 交互甚至都可以节省——用 apache 的 mod_expires 模块即可（Nirvana Studio：缓存友好的网页）。

Firefox 扩展 之 王小峰的音乐盒

这两天，三表连续写了几篇知会一声、DJ 等等，在他的 blog 首页上放了一个音乐盒。

因为我用的是 Firefox 浏览器，头一天发现页面上显示那个音乐盒有点异常，把音乐盒链接在新的页面上单独打开才有效果，但是整块页面空空荡荡的，就在中间嵌一个小的音乐盒，不大美观（现在音乐盒链接换了一个新的，正常了）。

今天看到有人在回复里提 Fx 里显示不正常的问题，回答他的问题的同时突然有一个想法，做一个 Fx 扩展，打开一个只有音乐盒大小的新的窗口，这样看起来小巧精致，把音乐盒跟他的 blog 页面剥离了（没有必要为了听音乐老开着 blog 页面吧）。

因为以前研究过一些 Fx 的扩展，比这个复杂得多，所以它很快就搞定了，爽！

扩展详细信息：王小峰的音乐盒

更新：

昨天搞定了1.0 版。工具栏的按钮加上了，右键菜单里的图标也加上了，算是一个满意的版本。费尽千辛万苦做了透明背景的图片（盗版的 PhotoShop 是一定不能用的），配了国际米兰的颜色，好看，哈哈——20070321

把尿....

大概是达达快到两岁的时候，就拒绝穿纸尿裤睡觉了。

于是乎几乎整整两年的时间，我每天要把闹表定在临晨 1 点，否则就只能半夜爬起来手忙脚乱的换褥子了；后来觉得反正也睡不好，就干脆熬到1点才睡。

有时候不免想，这样的日子什么时候是头啊。

直到最近发现宝贝儿可以安睡一晚上了，不再需要她爸爸了。居然怀念以前的时光了，恍然若失。

附：前几天达达洗澡，对她妈妈说，拿我的净瓶来。她妈十分诧异，一问才知道是水壶。呵呵，不知道从什么渠道学习过了观音姐姐...

推荐一个 WYSIWYG HTML 编辑器

今天从前同事吕志良的 blog 看到的，COMEditor。

这里摘抄几句说明：其实，现在已经有了许多可以跨浏览器运行的 HTML 编辑器，代码成熟度已经很高了。但是它们的设计结构，对于开发人员来说，我觉得十分不友好。设计层次不清晰，业务逻辑与组件逻辑夹杂在一起，严重地影响了编辑器的二次开发。并且，一旦出现脚本错误，调试成本相对来说也非常的高。COMEditor 由于采用了组件的方式，所以功能层次明确，更容易开发人员二次开发和调试。

我是相当的信任吕志良的水平的，所以这里特地推荐这个项目。也感谢 eYou/zhanzuo.com，将代码以 MPL 1.1 发布。

config vs script（配置文件还是脚本？）

周五的 mailteam 技术例会上，说起运营监控系统的配置，当时我提出直接写脚本来配置就好了，但遭到了一堆人的反对，指出现在使用的 XML 工作的很好...

会上并没有就这个问题深入讨论，会后就想着就这个问题写一篇 blog，正好看到沈崴也刚刚写了一篇文章阐述类似的问题，不过他介绍的是如何用 py 进行配置的实作，非常有价值。

3. 可配置性。这个也比 XML 强太多，或者说实现起来比 XML 自然的多

会议上提到的脚本配置的缺点是如果脚本写错了会影响程序执行，其实并不是理由，因为 python 是可以动态 import 的，对导入配置的异常做额外处理就好了，事实上任何系统配置都免不了要做这个。

另外一个很容易被想到的缺点就是 XML 配置文件可以应用于各种语言写就的程序，而 py 脚本貌似只能在 python 里面使用。实际上 py 脚本（或者说 python 对象）是可以在 C/C++ 里面访问的，现在网游客户端包括 QQ 不都是这么做的么。

在我看来，问题真正的核心在于配置文件编写人员，或者说习惯于在 web 上提交表单的管理员们，是否愿意去学习一门新的脚本语言

记得一个超有名的黑客说他教文职秘书们配置 emacs，她们没有人意识到实际上是在写 lisp 程序。 :)

北京房价贵的原因之一

注：下面两篇图片来自昨天周五的北京晚报。北京晚报可以直接从网上下载 pdf 版本，赞一个；但不支持 Firefox，贬一个。

2000 年非北京户籍婴儿才 20000，去年已经是 60000 了。这个可怕的增长率反映了京飘们在北京的殖民势头。他们是现在商品房购房需求最强烈的一族（也包括我），因为经济适用房、廉租房基本和这个群体无缘。

另：我和老婆已经打算让达达同志随着羊宝宝们一起混了，总体的教育资源到她们那一届应该是供过于求吧。

摸到 eYou 网摘的天花板

一直用 eYou 的网摘服务。

昨天通过eYou 网摘的 Fx 扩展添加时突然不正常了，上网站上提交，提示一个错误：某个标签下的网摘已经到最大数目。查了一下 IT 这个标签，里面有 256 条网摘。不知道 eYou 为什么要做这个限制。

试图搬到 delicious 里去，但是导入后，发现每个网摘只保留了在 eYou link 里面的第一个标签，而且添加、管理网摘和标签做得远远不如 eYou 网摘体贴。

怎么办？

是在 eYou 网摘里面建一个 IT2 的标签，还是忍了 delicious？目前还在艰难抉择中……

今年春节不短信拜年，过年我只写春联呀~~~

qyt 同志的字写的很好，率先在 blog 上给读者们拜年。

俺的字比较烂，这个事情上没有发挥余地，稍稍有些惭愧。初一晚上看一个访谈节目，一位台湾嘉宾说起他们那里每年都是父亲动手写春联，老了提不动笔了儿女们就抓瞎了。俺就想对啊，为什么不写春联呢？其实对联是互联网上很常见的形式了——虽然通常我们看到的是飘呀飘的广告。正好 dup2.org 当初设计布局的时候就已经在两侧留下了空白，可以用来放对联。

长这么大头一回写春联，想了半天总算凑了一副，对仗平仄还算马马虎虎，就是不大应春节背景。横批是 qyt 想出来的，多少带一些迎新向上的意思。希望明年我们能写得更好些

对联的制作是用 vmware/Ubuntu 虚拟机里的 gimp 完成的，包括背景也是用 gimp 找了一个 script 做的，还挺像那么回事情。字是文鼎的楷体，虽然是简体字库，"著"还是不一样，不过我们喜欢。

做好之后用 XnView 的裁剪功能生成三张图，上载，改模板布局，大功告成。

现在还有一个问题，就是什么时候撤掉春联... 据说，现实生活中春联是不会主动拿掉的，而是等风吹日晒自然变化。现初步决定过了正月就拿掉春联。

还有就是春节期间把 dup2.org 迁移到了 vmmatrix 的主机上，去掉了原来给康盛世纪做的链接，腾出放横批的位置。不过这里还是要感谢康盛世纪以及 xjb 同学过去半年里为我们免费提供的主机服务，万分感谢！！

预报：3月4日清晨月全食

今天北京的天气不错，不知道到时候能不能看到。看完后还可以补个回笼觉

我家达达还在湖北，到时候让奶奶把她弄起床看"天狗吃月亮"，哈哈

介绍这里有