Web Мастерская

Основные риски использования прав 777

Почему не стоит использовать права 777?

• Используйте минимально необходимые права доступа:
  
  • Каталоги: 755 (drwxr-xr-x).
  • Файлы: 644 (-rw-r--r--).
  • Каталоги для загрузки файлов: 775 (drwxrwxr-x) или 770 (drwxrwx---).
  
  
• Применяйте группы пользователей: назначайте владельцев и группы каталогов и файлов, чтобы ограничить доступ только уполномоченным лицам.
• Используйте ACL (Access Control Lists): для тонкой настройки прав доступа.

Заключение

Использование семантических тегов

• <header> — заголовок страницы.
• <footer> — нижний колонтитул.
• <article> — основной контент страницы.
• <section> — раздел страницы.
• <nav> — навигация.

<header>
  <h1>Мой сайт</h1>
  <nav>
    <ul>
      <li><a href="#">Главная</a></li>
      <li><a href="#">О нас</a></li>
      <li><a href="#">Контакты</a></li>
    </ul>
  </nav>
</header>

Минимизация HTML-кода

<!DOCTYPE html><html lang="en"><head><meta charset="UTF-8"><title>Title</title></head><body>Hello World!</body></html>

Использование микроразметки

<div itemscope itemtype="http://schema.org/Person">
  <span itemprop="name">Иван Иванов</span>
  <span itemprop="jobTitle">Директор</span>
</div>

Оптимизация изображений

<img src="image.jpg" width="300" height="200" alt="Описание изображения">

Кэширование ресурсов

<FilesMatch "\.(js|css)$">
  Header set Cache-Control "public, max-age=31536000"
</FilesMatch>

Заключение

Использование семантических тегов

• <nav> — контейнер для основных навигационных ссылок.
• <header> — секция, содержащая логотип, заголовок и навигацию.
• <aside> — боковая панель с второстепенной навигацией.

<header>
  <h1>Мой сайт</h1>
  <nav>
    <ul>
      <li><a href="#">Главная</a></li>
      <li><a href="#">О нас</a></li>
      <li><a href="#">Контакты</a></li>
    </ul>
  </nav>
</header>

Оформление пунктов меню

<nav>
  <ul>
    <li><a href="#">Главная</a></li>
    <li><a href="#">О нас</a></li>
    <li><a href="#">Контакты</a></li>
  </ul>
</nav>

Подсветка активного пункта меню

<li class="active"><a href="#">Главная</a></li>

.active a {
  color: red;
  font-weight: bold;
}

Расширенные навигационные элементы

<div class="menu-item">
  <a href="#">Главная</a>
  <span class="sub-menu">
    <a href="#">Подраздел 1</a>
    <a href="#">Подраздел 2</a>
  </span>
</div>

Микроразметка навигации

<nav itemscope itemtype="http://schema.org/SiteNavigationElement">
  <ul>
    <li itemprop="url"><a href="#" itemprop="name">Главная</a></li>
    <li itemprop="url"><a href="#" itemprop="name">О нас</a></li>
    <li itemprop="url"><a href="#" itemprop="name">Контакты</a></li>
  </ul>
</nav>

Заключение

Почему нужно отключать автозаполнение?

• Безопасность: защита конфиденциальных данных (пароли, персональные данные).
• Соответствие дизайну: сохранение единого стиля интерфейса.
• Поведение пользователей: предупреждение введения устаревших данных.

Как отключить автозаполнение?

<input type="text" autocomplete="off">

<input type="text" readonly onfocus="this.removeAttribute('readonly')">

<input type="text" id="<?php echo rand(); ?>" name="<?php echo uniqid(); ?>">

document.querySelectorAll('input[type="text"]').forEach(input => {
    input.value = '';
});

<form novalidate></form>

Заключение

Проверка наличия ImageMagick

convert -version

sudo apt-get update && sudo apt-get install imagemagick

sudo yum install epel-release
sudo yum install ImageMagick-devel

brew install imagemagick

Установка расширения PECL Imagick

sudo apt-get install php-dev
sudo pecl install imagick

sudo yum install gcc make autoconf automake libtool php-devel
sudo pecl install imagick

sudo pecl install imagick --with-imagemagick=/usr/local/lib/

Добавление расширения в конфигурационный файл PHP

sudo nano $(php -i | grep 'Loaded Configuration File' | cut -d':' -f2)

extension=imagick.so

sudo systemctl restart apache2

sudo systemctl restart nginx
sudo systemctl restart php-fpm

Тестирование установленного расширения

<?php
if (extension_loaded('imagick')) {
    echo "Imagick успешно установлен!";
} else {
    echo "Ошибка: Imagick не найден.";
}
?>

php test.php

Шаги для нахождения и устранения проблемы

$.ajax({
    url: '/some-endpoint',
    method: 'GET',
    success: function(data) {
        console.log('Received data:', data); // проверьте, что находится в data
        try {
            eval(data); // здесь произойдет ошибка, если код некорректен
        } catch(error) {
            console.error('Error in received data:', error);
        }
    },
    error: function(xhr, status, error) {
        console.error('AJAX error:', xhr.responseText);
    }
});

Итог

• В первую очередь смотрите на содержимое ответа сервера (в инструментах разработчика).
• Проверяйте логику вставки JavaScript в страницу.
• Исследуйте код, который обрабатывает AJAX-запросы, и исследуйте возможность повреждения данных на пути от сервера к клиенту.

Что такое CSRF?

Типичные сценарии атаки CSRF

1. Удаление аккаунта или сброс пароля: Жертву заставляют подтвердить сброс пароля или удаление аккаунта через скрытые формы или гиперссылки.
2. Перевод денег: Пользователь открывает легитимный сайт банка, после чего переходит на поддельный сайт, который незаметно инициирует платежную транзакцию на счету жертвы.
3. Изменение конфиденциальных данных: Незаметные манипуляции с формами или кнопками могут привести к изменению персональных данных или контактной информации.

Как защитить своё приложение от CSRF?

1. CSRF-токены: Генерируйте уникальные одноразовые токены для каждой сессии пользователя и проверяйте их на сервере при каждом запросе. Токены защищают от попыток злоумышленников отправить фальшивые запросы.
2. Проверка Referer и Origin заголовков: Веб-приложение может проверять, откуда пришел запрос, сравнивая значения заголовков Referer и Origin. Хотя это не абсолютная гарантия, это хороший дополнительный барьер.
3. Использование SameSite cookie policy: Современные браузеры поддерживают атрибут SameSite для cookies, который предотвращает отправку куков при междоменных запросах. Это хорошая практика для дополнительной защиты.
4. Limitation of cross-domain access via CORS: Политика Cross-Origin Resource Sharing (CORS) позволяет контролировать, какие внешние домены могут совершать запросы к вашему ресурсу.
5. Исключение GET-запросов от чувствительных операций: Все операции, изменяющие состояние (DELETE, PUT, PATCH, POST), должны требовать подтверждения посредством POST-запросов с CSRF-токеном.

Дальнейшие действия

• Проверьте логи, чтобы узнать, какое именно действие вызвало предупреждение о CSRF. Обычно подобные события регистрируются с IP-адресом и информацией о запросе.
• Повысьте уровень безопасности, внедряя CSRF-токены для всех критических операций.
• Настройте правильную политику безопасности заголовков (CSP, HSTS, Strict Transport Security) для дополнительного уровня защиты.

Есть несколько возможных причин этой ошибки

1. Политика кэширования: Ресурс может быть помечен как не подлежащий кэшированию (например, заголовок Cache-Control: no-cache). Браузер не сможет сохранить такой ресурс в локальном кэше.
2. Режим очистки кэша: Если вы недавно очистили кэш браузера, ресурс, который был в нём ранее, перестанет быть доступным из кэша.
3. Ошибки сетевого соединения: Иногда ошибки сети или сервера могут помешать успешной передаче ресурса клиенту, что приводит к отказу в доступе к кэшированным материалам.
4. Истечение срока действия кэша: Даже если ресурс ранее был закэширован, срок его годности может истечь, и браузер прекратит предоставление его из кэша.

Что можно предпринять для решения проблемы

1. Настройки кэширования: Проверьте заголовки HTTP, которыми сопровождается доставка ресурса. Заголовки, такие как Expires, Cache-Control, определяют политику кэширования и сроки хранения данных.
2. Повторная передача ресурса: Перезагрузите страницу, нажав комбинацию клавиш Ctrl+F5 (Windows) или Cmd+R (MacOS), чтобы принудительно обновить ресурсы и заново отправить их в кэш.
3. Проверьте наличие ресурса на сервере: Убедитесь, что ресурс физически существует на сервере и доступен по указанному адресу.
4. Диагностика через инструменты разработчика: Откройте панель Network в инструментах разработчика браузера (Ctrl+Shift+I на Windows или Cmd+Option+I на MacOS) и просмотрите статус запроса к ресурсу. Это поможет выявить ошибки, связанные с доставкой ресурса.

Пример решения

• Сервер отправляет правильные заголовки кэширования.
• Клиент (браузер) получил ресурс и поместил его в кэш.

header('Cache-Control: public, max-age=3600'); // Срок жизни кэша — 1 час
header('Expires: ' . gmdate('D, d M Y H:i:s', time() + 3600) . ' GMT');

Что такое синхронные запросы?

var xhr = new XMLHttpRequest();
xhr.open('GET', '/api/data', false); // Параметр false делает запрос синхронным
xhr.send();
console.log(xhr.responseText);

Негативные последствия синхронных запросов

1. Заблокированное взаимодействие: Пользователи не могут нажимать на кнопки, пролистывать страницу или совершать другие действия, пока синхронизированный запрос ждет ответа.
2. Потеря производительности: Длительно работающие синхронные запросы способны серьёзно замедлить загрузку страницы и выполнение других задач.
3. Устаревший подход: Современные браузеры считают синхронные запросы на главной нити устаревшими и рекомендуют переходить на асинхронные решения.

Как исправить проблему?

var xhr = new XMLHttpRequest();
xhr.open('GET', '/api/data', true); // true — делаем запрос асинхронным
xhr.onload = function() {
    if (xhr.status === 200) {
        console.log(xhr.responseText);
    } else {
        console.error('Ошибка запроса:', xhr.statusText);
    }
};
xhr.send();

fetch('/api/data')
    .then(response => response.text())
    .then(text => console.log(text))
    .catch(error => console.error('Ошибка запроса:', error));

Основные компоненты атрибута

<preserveAspectRatio-value> = [ <align> || <meetOrSlice> ]

• <align>: управляет выравниванием SVG-контента внутри контейнера.
• <meetOrSlice>: контролирует, должно ли содержание растягиваться ("slice") или уменьшаться ("meet"), чтобы соответствовать доступному пространству.

Возможные значения

• xMin: Контент выровнен слева.
• xMid: Центрированное горизонтально.
• xMax: Контент выровнен справа.
• YMin: Контент выровнен сверху.
• YMid: Центрировано вертикально.
• YMax: Контент выровнен снизу.

• Meet (default): Содержимое уменьшается пропорционально, чтобы полностью уместиться в окне просмотра, возможно оставив пустые пространства вокруг.
• Slice: Содержимое увеличивается настолько, насколько это возможно, чтобы заполнить весь контейнер, даже если некоторые части будут обрезаны.

• "xMinYMin slice": Растягиваемое содержание помещается в верхний левый угол и обрезается по мере необходимости.
• "xMidYMid meet": По умолчанию: содержимое равномерно центрируется и масштабируется до наименьшего возможного размера, сохраняя пропорции.
• "xMaxYMax slice": Контент размещён в правом нижнем углу и увеличен до максимального размера, независимо от обрезания.

Практическое применение

<svg width="300px" height="200px">
  <rect x="0" y="0" width="100%" height="100%"/>
  <!-- Круг фиксированного размера -->
  <circle cx="50" cy="50" r="50" fill="blue"/>
</svg>

<svg viewBox="0 0 100 100" preserveAspectRatio="xMidYMid meet">
  <circle cx="50" cy="50" r="50" fill="blue"/>
</svg>

Заключение

Наиболее частые причины появления этой ошибки

let myVar = undefined;
console.log(myVar.trim()); // Uncaught TypeError: Cannot read properties of undefined (reading 'trim')

const element = document.querySelector('.nonexistent-class');
console.log(element.textContent.trim()); // Uncaught TypeError: Cannot read properties of null (reading 'trim')

Как исправить данную ошибку

let str = someFunctionThatReturnsValue();
if (typeof str === 'string') {
    console.log(str.trim());
} else {
    console.error('Expected a string but got:', typeof str);
}

const result = data?.trim() || '';
console.log(result);

const element = document.querySelector('.my-element');
if (element) {
    console.log(element.textContent.trim());
} else {
    console.warn('Element not found!');
}

let obj = {};
obj.name = 'John Doe';
console.log(obj.name.trim()); // Всё хорошо

let anotherObj = null;
try {
    console.log(anotherObj.name.trim()); // Приведет к ошибке
} catch(e) {
    console.error('Ошибка:', e.message);
}

Итог

Кеширование селекторов

• Описание: Многократные поиски элементов в DOM снижают производительность и как избежать этого с помощью кеширования.
• Решение: Показать, как сохранять выборки в переменную и повторно использовать их, снижая число обращений к DOM.

// Плохой пример (медленно)
for(let i = 0; i < 100; i++) {
    $("#myDiv").addClass("active");
}

// Хороший пример (быстро)
let myDiv = $("#myDiv");
for(let i = 0; i < 100; i++) {
    myDiv.addClass("active");
}

Делегирование событий

• Описание: Влияние множественного подключения обработчиков событий и как уменьшить накладные расходы с помощью делегирования.
• Решение: Пояснить концепцию делегирования событий и привести примеры эффективного использования.

// Плохой пример (каждый item слушает событие)
$(".item").on("click", function() {});

// Хороший пример (делегация)
$("#items-container").on("click", ".item", function() {});

Сокращение DOM-взаимодействий

• Описание: Постоянные обращения к DOM приводят к снижению производительности.
• Решение: Демонстрировать, как комбинировать изменения элементов в одной операции, минуя постоянное обращение к DOM.

// Медленно
$("#element").addClass("loading");
$("#element").text("Loading...");

// Быстро
$("#element")
    .addClass("loading")
    .text("Loading...");

Грамотная работа с AJAX

• Описание: Влияние асинхронных запросов сказывается на производительности.
• Решение: Настройка кеширования данных, ограничение частоты запросов и ленивая загрузка (lazy loading).

// Ленивая загрузка с контролем частотности
let timer;
$("button").on("click", function() {
    clearTimeout(timer);
    timer = setTimeout(() => $.get("/data"), 500);
});

Анимации и плавные переходы

• Описание: Большая нагрузка на CPU и GPU может негативно сказаться на производительности.
• Решение: Способы сокращения затрат на анимацию, выбор оптимальной длительности и альфа-канала для оптимизации кадров.

// Замена тяжелой анимации css-анимацией
$("#element").animate({ opacity: 0 }, 500);

// Лучше
$("#element").fadeOut(500);

Заключение

Управление DOM-структурой

// Создать новый div и добавить его в конец body
$('<div>Новый элемент!</div>').appendTo('body');

// Добавить элемент в начало списка ul
$('<li>Новый пункт списка</li>').prependTo('ul');

// Вставить элемент после другого элемента
$('<button>Нажмите меня</button>').insertAfter('#targetButton');

// Копируем элемент и помещаем копию в конец страницы
$('#myDiv').clone().appendTo('body');

// Перемещаем элемент вверх по документу
$('#myDiv').detach().prependTo('body');

// Удаляет элемент и его детей
$('#oldElement').remove();

// Убирает элемент, но сохраняет его содержимое
$('#outerContainer').empty();

Работа с атрибутами и свойствами

// Устанавливаем атрибут href у ссылки
$('a').attr('href', 'https://example.com');

// Получаем значение атрибута title
var titleValue = $('img').attr('title');

// Проверяем свойство checked у checkbox
if ($('#checkboxID').prop('checked')) {
    alert('Checkbox отмечен!');
}

// Устанавливаем disabled
$('#buttonID').prop('disabled', true);

Управление стилем и классами

// Добавляет класс active к кнопке
$('#btn').addClass('active');

// Удаляет класс active
$('#btn').removeClass('active');

// Переключает класс hidden
$('#panel').toggleClass('hidden');

// Меняем фон кнопки
$('#btn').css({
    backgroundColor: 'blue',
    color: 'white'
});

// Узнать ширину элемента
var width = $('#btn').css('width');

Интеракция с событием

// Нажали на кнопку — выводим сообщение
$('#btn').on('click', function() {
    alert('Вы нажали кнопку!');
});

// Наведение мыши
$('#element').hover(function() {
    $(this).addClass('hover-effect');
}, function() {
    $(this).removeClass('hover-effect');
});

// Удаляем обработчик клика
$('#btn').off('click');

Эффективная работа с DOM

// Неэффективно
for(var i = 0; i < 100; i++) {
    $('#element').addClass('animation');
}

// Эффективно
var cachedElement = $('#element');
for(var i = 0; i < 100; i++) {
    cachedElement.addClass('animation');
}

// Несколько операций разом
$('#element').addClass('active').css({color:'green'});

Заключение

Какие бывают псевдоклассы?

• :first — выбирает первый элемент из набора.
• :last — выбирает последний элемент из набора.
• :even — выбирает элементы с чётными индексами (начиная с нуля).
• :odd — выбирает элементы с нечётными индексами.
• :eq(N) — выбирает элемент с номером N (также начинается с нуля).
• :gt(N) — выбирает элементы с номерами большими, чем N.
• :lt(N) — выбирает элементы с номерами меньшими, чем N.

Когда использовать псевдоклассы?

$('.item:first').css('background-color', 'yellow');

$(this).find('li:first').addClass('active');

Опасные зоны: Когда псевдоклассы НЕ РАБОТАЮТ?

• .parents() — метод ожидания простой CSS-селектор вида .block, и псевдокласс сломает его работу.
• .children(), .siblings(), .next(), .prev() — аналогично, они хотят простой селектор без усложнений.

$(this).parents('.block:first').find('li').removeClass('active');

Альтернативы псевдоклассам

• .first() — выбирает первый элемент из набора.
• .last() — выбирает последний элемент из набора.
• .slice(start, end) — разрезаем набор элементов, выбрав диапазон индексов.
• .eq(index) — выбирает элемент по номеру индекса.

$('.item').first().css('background-color', 'yellow');

Примеры использования

$('.item:first').css('background-color', 'yellow');

$('ul li:last').hide();

$('tr:odd').css('background-color', '#fafafa');

$('.list-item:eq(2)').addClass('special');

Заключение

• Использование псевдоклассов эффективно и полезно, но соблюдай осторожность, особенно с методами, которые ждут обычный CSS-селектор.
• Замена псевдоклассов методами вроде .first(), .last() и .eq() может повысить надёжность и гибкость твоего кода.
• Помни, что чистота и простота повышают надежность проектов.