上一篇文章讨论了axum如何获取参数，这一节看看axum是怎么构造响应内容的，如果你还不知道如何处理axum的请求参数，可以阅读我之前的文章: https://youerning.top/post/axum/quickstart-1。

Salvo 是 Rust 实现的简单好用且功能强大的 Web 后端框架。 特色： 有着比 axum 等更丰富的功能，但却更易于上手。 跟 go 等其他语言框架更接近，比 Rust 语言各个 Web 框架更少的类型系统的烦恼。 支持 HTTP1, HTTP2 and HTTP3; 统一的中间件和 Handler 接口，无需任何复杂语言只是，轻松实现中间件。灵活高效。 内置表单处理，强大的提取器，轻松反序列请求数据到结构体。 支持 WebSocket, WebTransport 对 OpenAPI 最完美的支持，且内置多种开源 OpenAPI 展示界面 支持 Acme， 可以轻松获取并自动更新免费的 TLS 证书 适配 Tower 生态 本次更新： 修复 ServeStaticDir 排除 dot files 不起效的问题。 为 ServeStaticDir 添加 exclude_filter 方法，可以根据需要排除任何你不想被访问的文件。 OpenAPI 支持的多处更新 Extractor 自动根据请求切换解析方式 UnixListener 添加 owner and permissions 相关支持 升级 opentelemetry-prometheus 到 0.14 详细更新链接： https://github.com/salvo-rs/salvo/releases/tag/v0.59.0 本次版本依然是依赖 hyper 1.0-rc4，proxy 部分功能依赖 reqwest 库，等它更新到 hyper 1.0 后，salvo 会第一时间更新。

Taipy 是一个开源 Python 库，用于构建 Web 应用程序前端和后端。 立即将数据和 AI 算法转化为可投入生产的 Web 应用程序。 将 PySpark 与 Taipy 结合使用 Taipy 是一款功能强大的工作流程编排工具，具有易于使用的框架，可以轻松应用于您现有的数据应用程序。Taipy 建立在坚实的概念基础上 -场景、任务和数据 节点- 这些概念非常强大，允许开发人员轻松建模他们的管道，即使在没有明确支持的情况下使用第 3 方包也是如此。

LMA 在基本任务上的表现优于人类和强化学习代理，但在涉及任务组合的实际应用中，它们的性能仍未得到充分探索。通过引入新的基准 CompWoB，我们展示了从基本任务到组合任务的 LMA 表现下降，而在训练过程中平衡任务数据分布后，我们设计了一个新模型 HTML-T5++，在 MiniWoB 上超过人类水平并在 CompWoB 上取得了最佳零样本性能。然而，在改变组合顺序的不同指令组合下，它们的性能进一步下降。与 LMA 的最新成功相反，我们的基准和详细分析突出了构建对真实世界部署具有稳健性和可泛化性的 LMA 的必要性。

We’re announcing changes to how Office Add-ins and apps are installed, accessed, and sideloaded to Outlook for Windows and Outlook for Web. The post Updates to how to install and use Add-ins and apps in Outlook for Windows and Outlook on the web appeared first on Microsoft 365 Developer Blog.

rust的tokio是一个很棒的异步运行时，所以tokio出品的axum大概率也是个很棒的框架，处于对异步编程和tokio的喜欢，所以我打算以后都使用axum作为web开发的首选框架。

水平越权概述：攻击者尝试访问与他拥有相同权限的用户的资源测试方法：能否通过A用户操作影响到B用户案例：pikachu-本地水平垂直越权演示-漏洞成因1）可以看到kobe很多的敏感信息2）burp抓包，

The new Chrome Web Store homepage with a banner that says “Celebrate Black Artists.” There is also a list of top extension categories, including Shopping, Communication, Education and Creativity.

剪映中的视频特效虽多，其实就两类，一类改变原始像素，一类叠加混合，本文通过精简的源码和精致的案例给大家介绍具体如何实现。

本文永久链接 – https://tonybai.com/2023/11/19/understand-go-web-cross-origin-problem-by-example 在开发Web应用的过程中，我们经常会遇到所谓“跨域问题(Cross Origin Problem)”。跨域问题是由于浏览器的同源策略(Same-origin policy)导致的，它限制了不同源(Origin：域名、协议或端口）之间的资源交互。在这篇文章中，我将通过一些具体的示例来把跨域问题以及主流解决方法说清楚，供大家参考。 1. 什么是跨域问题 跨域问题指的是当一个Web应用程序在访问另一个域(Origin)的资源时，浏览器会阻止这个跨域的请求(Cross Origin Request)。这句针对跨域问题的诠释里有一个术语“域(Origin)”，它到底是什么呢？ 1.1 什么是Origin 在Mozilla官方术语表中，”Origin”指的是一个Web应用/网站的标识，由协议(protocol/scheme)、域名(domain，或主机名host)和端口(port)组成。如果两个应用/网站的协议、域名和端口都相同，它们就被认为是同源的(same origin)；否则，它们被视为不同源。我们看到：Origin是一个典型的三元组(protocol, domain, port)，只有三元组相同的两个应用/站点才会被认为是同源的(same origin)。 下面是一些判断两个应用/站点是否同源的例子及判断理由： 知道了Origin三元组后，我们来揪出跨域问题背后的“罪魁祸首”。 1.2 同源策略 – 跨域问题的“罪魁祸首” 浏览器为了增加安全性而采取的一项重要措施，那就是“同源策略”。同源策略限制了一个网页中的脚本只能与同源（三元组：协议、域名、端口相同）的资源进行交互，而不能直接访问不同源的资源。 浏览器的这种同源策略限制主要包含以下几点: Cookie、LocalStorage和IndexDB无法读取非同源的资源。 DOM和JS对象无法获得非同源资源。例如iframe、img等标签加载的资源，DOM无法访问；JS无法操作非同源页面的DOM。 AJAX请求不能发送到非同源的域名，浏览器会阻止非同源的AJAX请求。 不能读取非同源网页的Cookie、LocalStorage和IndexDB。 下图(图片来自网络)展示了同源策略对恶意脚本代码对非同源数据访问的限制： 上面这张图片清晰地展示了恶意脚本代码试图访问非同源数据进行恶意登录的过程。 首先，用户通过浏览器访问正常网站domain1.com，并用用户名密码正常登录该网站，domain1.com使用cookie技术在用户浏览器中保存了与用户登录domain1.com相关的会话信息或token信息。 之后，用户又访问了恶意站点domain2.com，该站点首页的脚本代码在被下载到用户浏览器中后，试图访问浏览器cookie中有关domain1.com的cookie信息，并试图用该信息冒充用户登录domain1.com做恶意操作。 浏览器的同源策略成功禁止了恶意代码的这些恶意操作，浏览器从domain2.com下载的脚本代码只能访问与domain2.com同源的信息。 通过这个过程我们看到：浏览器同源策略的本意是防止恶意网站通过脚本窃取用户的敏感信息，比如登录凭证、个人资料等。如果同源策略不存在，恶意网站就可以自由地读取、修改甚至篡改其他网站的数据，给用户和网站带来巨大的安全风险。 不过，这种策略的存在给开发人员在开发过程带来诸多烦恼，比如：跨域数据访问限制、跨域脚本调用限制以及无法在不同域名之间共享会话信息等。为此，开发人员需要使用一些技术手段来解决这些跨域问题，这增加了开发的复杂性，并且需要额外的配置和处理，给开发人员带来了一定的麻烦。此外，不正确地处理跨域请求也可能导致安全漏洞，因此开发人员还需要对跨域请求进行合理的安全控制和验证。 1.3 获取请求中的“origin” 为了做同源检测，我们需要获取和确定请求中的origin信息。那么如何读取和确定呢？ 在HTTP请求头中，”Origin”字段表示发送请求的页面或资源的源信息。该字段包含了发送请求的页面的完整URL或者仅包含协议、域名和端口的部分URL。 在同源策略下，所有的跨域请求都必须携带”Origin”请求头字段，指示请求的来源。因此，在符合同源策略的情况下，每个请求都应该携带”Origin”字段。 在服务器端，我们可以通过读取请求头中的”Origin”字段来确定请求的origin，具体的方法会根据使用的编程语言和框架而有所不同，例如在Go中可以通过r.Header.Get(“Origin”)来获取”Origin”字段的值。由于”Origin”字段是由客户端提供的，服务器端在处理请求时，需要进行验证和安全性检查，以防止伪造或恶意的请求。 然而，有些情况下，请求可能不会携带”Origin”字段。例如，非浏览器环境下的请求（如服务器间的请求、命令行工具等）可能不会包含”Origin”字段。此外，某些旧版本的浏览器可能也不会发送”Origin”字段。 在这种情况下，我们就需要通过其他方式来确定请求的来源。例如，服务端可以查看请求头中的Referer字段来获取请求的来源。Referer字段指示了请求的来源页面的URL。通过检查Referer字段，服务端可以判断请求是否来自不同的域。此外，服务器端还可以检查请求头中的Host字段，该字段指示了请求的目标主机。如果请求的目标主机与服务端所在的主机不一致，那么可以判断请求是跨域的。 不过，需要注意的是，服务端的这些方法都依赖于请求头中的信息，而请求头可以被客户端伪造或修改。因此，为了更可靠地判断请求是否跨域，服务端应该综合考虑多个因素，并进行适当的验证和安全措施。 下面我们看一个可以复现跨域问题的示例。 1.4 复现跨域问题的Go代码示例 出现跨域问题的示例的图示如下： 在这个示例中，我们有两个Web应用：server1.com:8081和server2.com:8082。根据前面对Origin的理解，这两个Web应用显然不是同源的。 server1.com和server2.com对应的Go代码分别如下： // cross-origin-examples/reproduce/server1.com [...]