@julyclyde +all 方便本地测试 哈哈

@julyclyde v=spf1 +all，比较任性的设置，163 好像签了一下 DKIM 就会收，不签嘛，不知道他们家是不是有缓存，成功一次后面随便发

@txydhr 人家不收也是没办法 ପ(･ω･) 好好学习天天向上

终于遇到了一次翻页

#2 +1

另附 notepad++的任意目录文本搜索：

http://wx2.sinaimg.cn/large/a32300cdly1fwdqsy5z0mj211y0kqad3.jpg

http://wx1.sinaimg.cn/large/a32300cdly1fwbb8q3aahj208c08cq2t.jpg

2 块 5 毛钱 20 片，折合 0.13 一片，够吃一个月《茶苯海明片》

@wjfz 图片中这位大姐穿的毛衣 囧

@beny2mor #23 有钱的肥婆可以考虑 哈哈

顺带借楼推销一下我的 nginx 配置生成工具，嘿嘿

https://github.com/xiangyuecn/Nginx-Windows-Service-Manager

if 确实是这样的话 then new 搜索引擎这玩意应该和域名一样算是古董吧({


Jarvis （钢铁侠的 AI 管家）
是钢铁侠的 AI 管家，超智能软件，能独立思考，会帮助钢铁侠处理各种事务，计算各种信息。钢铁侠的机甲开发以及方舟反应炉的更新都离不开它的协助。在 Tony.stark （小罗伯特。唐尼）穿上盔甲时，它还会自动进行虹膜扫描，以确保机甲非外人侵入。

}).exit(0)

已中招。。。唯一用到的一个引用： https://cdn.bootcss.com/jquery/1.9.1/jquery.min.js

233333，已换百毒的 https://apps.bdimg.com/libs/jquery/1.9.1/jquery.min.js 这种 cdn 就算我不玩了 也会存在吧 （滑稽

滴!....准点报时

@zn #23 引用一句上个贴子人家说的话：半桶水的大佬厉害了

哈哈

楼上那些大佬没搞明白什么原理就喷，够水的。楼主分享的东东不错，学到了一点安全知识

@iwtbauh #71 嗯，遇到过阻止混合内容的情况，以前有次把 http 切换成 https 的时候，功能正常，但图片都没法显示，上线 10 分钟立马回滚，后面发布新版本里设置浏览器允许混合内容后才恢复 https （仅 Android app ）。

----

刚刚把 Secure 选项加到了 SetCookie 方法里
http://wx1.sinaimg.cn/large/a32300cdgy1fvn1glnb29j20n40cq0ti.jpg
代码写的丑，@yc8332 被你言中，满意否~

@iwtbauh 哈哈，刚才没有细看，现在细看了一下，你说的是对的。我收回#65 @ 你 的的第二句。其实我是对你说#11 中“再访问不是 https 的 b.com ”这一句有开始有蛮大意见，https 的 b.com 也是同样的效果。

#70 “ b .c o m 没有用 https 引用 a.c o m 的资源”也同样有意见。是这样咩

@t6attack #60 非也~

-----

你们要的 [简单原理]
根本原因在于 https://exp.com 设置的未带 Secure 选项的 cookie，http://exp.com 发起的请求（划重点，是发请求时，发请求时。。跟响应无关）也会带上此 cookie，从而可以达到中间人"主动提取"用户浏览器中存储的 cookies。

------

[威胁项]
懂了吗？就算上了 https，确实还是要注意一下的地方。


@mytry 针对楼主的 “访问任何一个 HTTP 网页，各大网站的 cookie 都会瞬间泄露” 虽然有点危言耸听， [不过细思极恐] 。


@iwtbauh #11 除了链接非常有用，其他的都是瞎几把扯淡。a 站的 cookie 泄露，跟 b 站是不是 https 没有关系不大，也跟 b 站是 http 还是 https 引用的 a 站资源关系不大。

《脱离框架干不了活系列》