认知闭合需要是近年来心理学领域的热点。 认知闭合需要描述的是个体应对模糊性时的动机和愿望，客观存在是“给问题找到一个明确答案的愿望，——无论是什么样的答案，——因为相对混乱和不确定，任何明确的答案都更好些”。 认知闭合是一个连续体，每个人都处于这个连续体的不同位置。 在这个连续体的一端，人们对认知闭合需求很强烈，而另一端，正好相反，避免需求十分强烈。 在面对模糊性时，为了消除模糊状态给自己带来的压力和焦虑，认知闭合较高的个体具有强烈的动机去寻找确定性、给出答案，——即使此时并没有结论性的证据，所下的决策或许并不恰当。 而认知闭合较低的个体对模糊性的容忍度较高，对立刻消除自己所面临的模糊和不确定状态的偏好较低，而具有更强烈的动机进一步去搜集信息或者对信息进行更深入的分析和思考。 认知闭合并不是完全是非理性的，因为认知闭合的一个明显的的好处是：人们能够很快地做出判断和决策，尤其在面临“最后期限”或者时间约束的时候；另外，由于信知闭合降低了人们进一步搜集和处理信息的必要性，因此可以节省人们的脑力劳动，这对于处于疲惫状态或者不利于思考的环境中的个体而言，无疑十分具有吸引力。

名词解释 I18n是Internationalization的缩写，意思国际化，18是因为在首字母I和尾字母n之间有18个字母，因为原词太长书写不方便所以缩写为I18n。 l10n是localization的缩写，对应的意思本地化，同样10是因为首尾间隔10个字母。 相关文件 POT(Portable Object Template)-可以通过文本编辑器打开 PO (Portable Object)-用Poedit才可以打开 MO (Machine Object)-编译后的二级制文件 相关软件 Poedit（https://poedit.net/） 如何修改既有翻译条目？ 1.下载languages下的zh_CN.po文件 2.用Poedit打开，编辑翻译完成后打开菜单选择，编译为MO… 3.上传.mo文件到languages目录即可 对英文模版进行汉化 情况一，如果模版本身并没有做国际化，没有通过通过_e()等函数输出语句词组，这种只能通过修改源代码静态强改 情况二 首先，生成pot这个过程当然不是人肉去一个个找，有自动化的工具去完成 1.最简单，插件 相关资料： 1.https://codex.wordpress.org/Installing_WordPress_in_Your_Language 2.https://devel…

新安装的wordpress有时候后台语言设置只显示英文，下拉菜单为空此时可以手动设置 1./wp-content下新建文件夹languages 2.下载对应语言包，http://svn.automattic.com/wordpress-i18n/,简体中文为zh_CN/。 3.把zh_CN.mo文件上传到languages文件夹，后台setting->general->Site Language下拉菜单出现简体中文选项

1.对象属性遍历 var pricelist={1: "35", 2: "70", 3: "105", 4: "140", 5: "175", 6: "210", 7: "245", 8: "280", 9: "315", 10: "350"}; for (var key in pricelist) { console.log(key+"="+pricelist[key]) } for (attr in window) { console.log(attr); } //枚举window对象的所有属性 2.数组遍历 方式一： var pricelist = [35,70,105,140,175,210,245,280,315,350]; for (var key in pricelist) { console.log(pricelist[key]) } 方式二： var pricelist = [35,70,105,140,175,210,245,280,315,350]; for (var i=0;i<pricelist…

基本结构 <link href="video-js.css" rel="stylesheet" type="text/css"/> <script src="videojs-ie8.min.js"></script> <script src="video.js"></script> <video id="my-video" class="video-js vjs-default-skin my_video_1-dimensions vjs-fluid vjs-controls-enabled vjs-workinghover vjs-has-started vjs-paused vjs-user-inactive vjs-big-play-centered" controls preload="auto" data-setup="{}"> <source src="url.mp4" type=’video/mp4′> </video> 切换源地址 va…

方案一：flex .imgview_inner{height: 500px; display: -webkit-box; display: -webkit-flex; display: flex; -webkit-box-align: center; -webkit-align-items: center; align-items: center; -webkit-box-pack: center; -webkit-justify-content: center; justify-content: center; } <div class="imgview_inner"><img src="http://gameweb-img.qq.com/gad/20170317/phphgAjtN.1489739479.jpg"></div> 方案二：transform <div> <img src="img.png" alt=""> </div> div{ position:relative; } img{ position: absolute; left: 50%;top: 50%; transfor…

知识点： 1.多窗口浏览器（firefox、chrome）便捷的同时也带来了一些问题，因为多窗口浏览器新开的窗口是具有当前所有会话的。 即我用IE登陆了我的Blog，然后我想看新闻了，又运行一个IE进程，这个时候两个IE窗口的会话是彼此独立的，从看新闻的IE发送请求到Blog不会有我登录的cookie；但是多窗口浏览器永远都只有一个进程，各窗口的会话是通用的，即看新闻的窗口发请求到Blog是会带上我在blog登录的cookie。 2.Get请求伪造 博客删除一般是采用get请求，后面加上文章id号，所以如果我们能构造一个连接带有删除的请求和id，同时用户已经在浏览器上登陆了博客，那么会利用自带cookie来实现跨站请求的伪装。 例如某篇文章的操作链接如下： post.php?post=1391&action=trash&_wpnonce=2cf4aa198b //移至回收站 post.php?post=1391&action=untrash&_wpnonce=b783a7a116 //还原 post.php?post=1391&action=delete&_wpnonce=2f51a98293 //永久删除 注意到末尾的’_wpnonce=2cf4aa198b’的随机字符…

代码排查无误后，猜测为服务器时间不准确导致 <?php echo date("Y/m/d/").date("h:i:sa"); ?> //data为php内置函数，因此显示的是服务器时间 <?php echo get_the_time(‘Y/n/j/’).get_the_time(‘G:i:s’); ?> //get_the_time为wordpress自定义函数因此显示的为文章发表的时间 新发表一篇文章查看，两个时间相差近10小时，确定问题所在。 解决办法：服务器时间为UTC，因此将网站时区为：协调世界时（UTC）

如果您在cookie中设置了HttpOnly属性，那么通过js脚本将无法读取到cookie信息，这样能有效的防止XSS攻击。 PHP5设置： setcookie($name, $value, $expire, $path, $domain, $secure, $httponly); 最后一个参数为HttpOnly属性

方法一： 将用户的认证信息保证在一个cookie中，具体如下： 1.cookie名：uid。推荐进行加密，比如MD5(‘站点名称’)等。 2.cookie值：登录名|有效时间Expires|hash值。hash值可以由”登录名+有效时间Expires+用户密码（加密后的）的前几位 +salt”，salt是保证在服务器端站点配置文件中的随机数。 这样子设计有以下几个优点： 1.即使数据库被盗了，盗用者还是无法登录到系统，因为组成cookie值的salt是保证在服务器站点配置文件中而非数据 库。 2.如果账户被盗了，用户修改密码，可以使盗用者的cookie值无效。 3.如果服务器端的数据库被盗了，通过修改salt值可以使所有用户的cookie值无效，迫使用户重新登录系统。 4.有效时间Expires可以设置为当前时间+过去时间（比如2天），这样可以保证每次登录的cookie值都不一样，防止盗用者 窥探到自己的cookie值后作为后门，长期登录。 方法二： 每个用户登录之后生成一个随机的GUID，然后把GUID存在数据库里面(也可以考虑使用Redis，把用户信息和随机 GUID以KEY-VALUE方式存储 GUID-用户信息，存储时设置超时时间，比如20分钟，每次验证用户信息都自动延长20分 钟。如果…

格式： console.log("%c要显示的字符串","css样式"); 示例代码 console.clear(); console.log("%c ", "border-top: 4px dotted #dadada; font-size: 42px;"); console.log("%chttp://willless.com", "font-size: 42px; color: #fff; text-shadow: 0 1px 0 #eaeaea, 0 2px 0 #dadada, 0 3px 0 #bababa, 0 4px 0 #b0b0b0, 0 5px 0 #a0a0a0, 0 6px 1px rgba(0,0,0,.1), 0 0 5px rgba(0,0,0,.1), 0 1px 3px rgba(0,0,0,.3), 0 3px 5px rgba(0,0,0,.2), 0 5px 10px rgba(0,0,0,.25), 0 10px 10px rgba(0,0,0,.2), 0 20px 20px rgba(0,0,0,.15);"); console.log("%c ", &qu…

HTTP协议头注射漏洞原理 以下情况中会出现HTTP协议头注射漏洞： 1. 数据通过一个不可信赖的数据源进入Web 应用程序，最常见的是HTTP 请求。 2. 数据包含在一个HTTP 响应头文件里，未经验证就发送给了Web 用户。 其中最常见的一种Header Manipulation 攻击是HTTP Response Splitting。 为了成功地实施Http Response Splitting 盗取，应用程序必须允许将那些包含CR（回车，由%0d 或\r 指定）和LF（换行，由%0a 或\n 指定）的字符输入到头文件中。 攻击者利用这些字符不仅可以控制应用程序要发送的响应剩余头文件和正文，还可以创建完全受其控制的其他响应。 <?php $location = $_GET[‘some_location’]; header("location: $location"); ?> 假设在请求中提交了一个由标准的字母和数字字符组成的字符串，如”index.html”，那么包含此cookie 的HTTP 响应可能表现为以下形式： HTTP/1.1 200 OK … location: index.html … 然而，因为该位置的值由未经验证的用户输入组成，所以仅当提交…

大多数人对于XSS的原理有一个基本认识，这里不再重复，只给出一个能够演示其原理的完整样例。 1 角色分配 有XXS漏洞的网站，IP地址172.16.35.135，PHP为开发语言 受害访问者，IP地址172.16.35.220，浏览器为IE11 黑客的数据接收网站，IP地址172.16.2.192，PHP为开发语言 2 源码实例 2.1 漏洞网站 存在漏洞的URL为:http://172.16.35.135/xss_demo.PHP <?php session_start(); ?> <!doctype html> <html> <head> <title>XSS demo</title> </head> <body> <form> <input style="width:300px;" type="text" name="address1" value="<?php echo $_GET["address1"]; ?>" /> <input type="submit" value=&qu…

1、信息收集 1.1/ Whois信息–注册人、电话、邮箱、DNS、地址 1.2/ Googlehack–敏感目录、敏感文件、更多信息收集 1.3/ 服务器IP–Nmap扫描、端口对应的服务、C段 1.4/ 旁注–Bing查询、脚本工具 1.5/ 如果遇到CDN–Cloudflare（绕过）、从子域入手（mail，postfix）、DNS传送域漏洞 1.6/ 服务器、组件（指纹）–操作系统、web server（apache，nginx，iis）、脚本语言 1.7/ More…通过信息收集阶段，攻击者基本上已经能够获取到网站的绝大部分信息，当然信息收集作为网站入侵的第一步，决定着后续入侵的成功。 2、漏洞挖掘 2.1/ 探测Web应用指纹–Discuz、PHPwind、Dedecms、Ecshop… 2.2/ XSS、CSRF、XSIO、SQLinjection、权限绕过、任意文件读取、文件包含… 2.3/ 上传漏洞–截断、修改、解析漏洞 2.4/ 有无验证码–进行暴力破解 2.5/ More…经过漫长的一天，攻击者手里已经掌握了你网站的大量信息以及不大不小的漏洞若干，下一步他们便会开始利用这些漏洞获取网站权限。 3、漏洞利用 3.1/ 思考目的性–达到什么样的效果 3.2/ 隐藏，破坏性–根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己…

指纹识别的核心原理是通过正则表达式匹配特征码或匹配文件的md5值，收集指纹的主要原则是程序独有的不会因环境和配置不同而改变的特征。

1.开启域名隐私保护（暴露注册人信息） 2.关闭php的报错提示（暴露服务器物理路径） 3.网站备份文件不要用web.zip,www.zip,wwwroot.rar,.bak,.swp,.old等的通用名（暴露网站程序） 4.根目录下的readme.text,license.txt,help.txt,robots.txt等文件适当修改（同样暴露网站程序及路径） 5.临时测试文件避免命名为phpinfo.php,test.php,info.php等

HTTP请求方法并不是只有GET和POST，只是最常用的。据RFC2616标准（现行的HTTP/1.1）得知，通常有以下8种方法：OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE和CONNECT。 官方定义 HEAD方法跟GET方法相同，只不过服务器响应时不会返回消息体。一个HEAD请求的响应中，HTTP头中包含的元信息应该和一个GET请求的响应消息相同。这种方法可以用来获取请求中隐含的元信息，而不用传输实体本身。也经常用来测试超链接的有效性、可用性和最近的修改。 一个HEAD请求的响应可被缓存，也就是说，响应中的信息可能用来更新之前缓存的实体。如果当前实体跟缓存实体的阈值不同（可通过Content-Length、Content-MD5、ETag或Last-Modified的变化来表明），那么这个缓存就被视为过期了。 简而言之 HEAD请求常常被忽略，但是能提供很多有用的信息，特别是在有限的速度和带宽下。主要有以下特点： 1、只请求资源的首部； 2、检查超链接的有效性； 3、检查网页是否被修改； 4、多用于自动搜索机器人获取网页的标志信息，获取rss种子信息，或者传递安全认证信息等

无意中查看源代码看到: <meta name=’robots’ content=’noindex,follow’ /> 意识到是后台设置导致 找到，设置-阅读-对搜索引擎的可见性，把勾去掉 保存以后，在看源代码，以上meta消失 提示：搜索引擎将本着自觉自愿的原则对待WordPress提出的请求。并不是所有搜索引擎都会遵守这类请求。

前提： 1.当元素设置box-sizing:border-box; 2.同时设置了上下padding 问题： height等于line-height 就无法实现垂直居中 修正： line-height=height-padding*2

修改WP根目录的.htaccess文件，在底部加入以下代码 <Files ~ “^wp-login.php”> Order deny,allow Deny from all Allow from 195.196.0.1/255.255.0.0 (可选，里面写你的ip段) Allow from X.X.X.X （这里写你常用的ip，如果是多个就覆盖几行） </Files> 保存文件就没问题了，如果需要在其他ip登录，修改上面的地址即可。

蜜罐好比是情报收集系统。 蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

创建流程： 1.创建一个函数，当 WordPress 发现短代码的时候会调用此函数； function recent_posts_function() { query_posts(array(‘orderby’ => ‘date’, ‘order’ => ‘DESC’ , ‘showposts’ => 1)); if (have_posts()) : while (have_posts()) : the_post(); $return_string = ‘<a href="’.get_permalink().’">’.get_the_title().'</a>’; endwhile; endif; wp_reset_query(); return $return_string; } 2.通过设置一个唯一的名称来注册短代码； function register_shortcodes(){ add_shortcode(‘recent-posts’, ‘recent_posts_function’); } 3.把注册的函数绑定到Wordpress的action上。 add_action( ‘init’, ‘register_shortcodes’);

slice() 把匹配元素集合缩减为指定的指数范围的子集。 <ul> <li>list item 1</li> <li>list item 2</li> <li>list item 3</li> <li>list item 4</li> <li>list item 5</li> </ul> $(‘li’).slice(2).css(‘background-color’, ‘red’);选中的是后面三个li元素。

echo $cat; $args = array( ‘orderby’ => name, //获取指定ID下的所有子级目录 ‘show_count’=> 1, ‘child_of’=>$cat ); wp_list_categories($args);