知其然，才能使其安——王震

 

常见的攻击手法

SQL 注入

文件上传

弱口令

Nday 攻击

XSS

社会工程学

等等……

 

被黑原因总结

不知道	不及时	不在意
不知道自用系统安全动态	不及时更新系统安全补丁	不在意个人信息安全
不知道常见黑客攻击手段	不及时修复漏洞	不在意用户数据安全
不知道该如何修复	不及时排查被黑系统	不在意各种安全软件提示、提醒
不知道今后该如何防御		不在意细节

 

那些年，醉人的“三字经”

网站渗透娱乐版	针对企业的实战版
进谷歌 找注入 没注入 就旁注 没旁注 用0day 没0day 猜目录 没目录 就嗅探 爆账户 找后台 传小马 放大马 拿权限 挂页面 放暗链 清数据	搞企业 先扫描 默认密 都知道 社工库 找一找 邮箱号 先列好 九头蛇 跑一跑 搞不定 放大招 发邮件 凭伪造 没邮箱 搞网站 二级域 皆可爆 老漏洞 没修好 新漏洞 刷一票 干研发 Git 找 原代码 全都要 CDN 可以跳 防火墙 可以撬 堡垒机 可以绕 云防护 可以秒 是企业 没有哪家搞不了

 

攻击手法统计

Nday攻击：45%

漏洞攻击：35%

其他攻击：15%

0day攻击：5%

 

一些箴言

80%的安全问题都是已知的安全问题，但是能抵御已知安全问题的网站只有20%

弱口令虽然看起来很弱，但是忽视弱口令只会让你的网站变得更弱

没有百分之百的安全，你所做的一切不是为了让自己无坚不摧，只是让自己不再弱不禁风

80%的系统安全问题都是可以通过升级补丁来解决，但是能做到这点的人只有20%

SQL注入存在十几年了，依然是主流攻击手段，可见安全比的不是谁更先进，而是谁更细心

不要得罪你的开发人员，这就跟你吃饭不要得罪服务员一样，你不知道他下一秒会不会在你的菜里吐口水

 

还有一句

永远不要觉得你安装的安全防护软件真的可以保护你的安全

 

服务器安全注意事项

不安装不必要的软件

排查所有系统弱口令

关闭不常用的端口

控制目录权限

不在服务器上下载、打开非官方提供软件

不在服务器上打开他人发来的网页链接

 

如何排查暗链？

利用查看网站的源代码来检查黑链

使用站长工具“网站死链检测”功能来检查黑链

用 FTP 查看网站文件的修改时间来检查黑链

接入 webscan.360.cn 检测

 

后门排查

Windows 下，D 盾、安全狗、主机卫士

Linux 下，Seay 一句话扫描脚本、主机卫士 Linux 版

用 FTP 查看网站文件的修改时间来排查恶意后门

接入 webscan.360.cn 等在线检测

 

安全类书籍推荐

《Web 安全深度剖析》——张炳帅 著

《白帽子讲 Web 安全》——吴瀚清 著

《Web 前端黑客技术揭秘》——钟晨呜（余弦）著

《黑客攻防技术宝典 Web 实战篇》——国外某黑客 著

 

联系方式

官网：www.flsec.com

• 公众号绑定到微信开放平台要求：绑定的公众帐号必须已获得资质认证，并且开启了安全保护
• 微信开放平台帐号下的应用，要获得微信登录、智能接口、公众号第三方平台开发等高级能力，必须申请微信开放平台开发者资质认证

注册

• 微信公众号功能对比

开发文档

• 

• 

•  

• 资源中心

• 

开发教程

• 微信公众平台域名配置和相关功能实现

• 微信中的网页如何判断当前用户是否关注某微信订阅号

• PC 端引导关注微信公众号（服务号）的简单思路

• 微信·开放平台开发笔记

• 多平台用户登录模块设计

• 微信小程序登录获取 openid，授权获取 unionid、手机号码、昵称等用户信息

• 开发微信小程序

设计

• WeUI：GitHub / Wiki / Demo

运营

• 微信外部链接内容管理规范 2016/4/12

在开发微信中的网页时，会遇到一些域名相关的配置：

① 公众号设置 - 功能设置 - 业务域名
② 公众号设置 - 功能设置 - JS接口安全域名
③ 接口权限 - 网页授权获取用户基本信息
④ 商户平台 - 产品中心 - 开发配置 - JSAPI支付授权目录
⑤ 小程序 - 开发 - 开发设置 - 业务域名
⑥ 公众号开发 - 基本设置 - IP白名单

 

第①种 业务域名：相对不重要，只是用来禁止显示“防欺诈盗号,请勿支付或输入qq密码”提示框，可配置 3 个二级或二级以上域名（个人理解是“非顶级域名”，即填写了 b.a.com 的话，对 c.b.a.com 不起作用，待测）。

我们网站的域名和公众号是没有绑定关系的，那么你在打开一个（可能是朋友分享的）网页时，跟哪个公众号的配置去关联呢，答案是 JS-SDK。

测试结果：由于一个月只有3次修改机会，这次先测二级域名，有效；再测顶级域名，有效；删除所有，仍有效。所以应该是缓存作用。过几天再试，然后下个月先测顶级域名，来确定直接填写顶级域名是否对所有二级域名有效。

 

第②种 JS接口安全域名：是配置所配置的域名下的网页可调用 JS-SDK。可配置 5 个一级或一级以上域名（个人理解是“任何级域名”，即填写了 b.a.com 对 c.b.a.com 也有效，但对 c.z.a.com 无效，待测。如果我们拥有顶级域名对应网站的控制权（上传验证文件到网站根目录），直接填写顶级域名即可）。
使用 JS-SDK 的每个网页都必须注入配置信息（wx.config），而之前必须获取 jsapi_ticket，jsapi_ticket api 的调用次数非常有限，必须全局缓存。而获取 jsapi_ticket 之前必须先获取 access_token，同样需要全局缓存。所以，我们专门做个接口，功能是传入需要使用 JS-SDK 的网页的 url，输出 wx.config 需要用到的配置信息，来实现在不同网页（网站）使用 JS-SDK。

 

第③种 网页授权域名：这是已认证的服务号才能享有的特权，主要作用是获取用户在该服务号中的 openid 和 unionid。可配置 1 个 2 个回调域名（可填写任意级别的域名，但仅对该域名的网页（网站）有效，若填写了 a.com 对 b.a.com 是无效的）。

因此，如果我们需要在不同二级域名甚至不同顶级域名下的网页（以下称之为活动页面）实现用户授权，需要做一个统一的代理授权页面（回调域名当然是填写这个页面所在的域名），引导用户依次打开：微信授权页面 - 代理授权页面 - 活动页面，根据开发说明文档，具体实现如下：

当用户第一次打开活动页面时，引导打开微信授权页面（https://open.weixin.qq.com/connect/oauth2/authorize），其中参数 redirect_uri 指定回调地址，即代理授权页面地址，参数 state 指定活动页面地址。微信授权页面返回 code 和 state，code 作为换取网页授权 access_token 的票据。到这一步，本来可以由代理授权页面直接拿这个 code 去换取 access_token、openid 和 unionid 了，但是由于当前用户还在 302 重定向过程中，将这些信息带入到活动页面时势必导致信息泄露，所以这里将 code 追加到 state 指定的网址上后重定向到活动页面，活动页面拿到 code 再通过服务器端向代理授权页面所在服务器请求 openid 和 unionid，并将它们保存于 Session 中视为用户登录。这样，服务号的 appid 和 secret 也能得到保护。代理授权页面请求的微信服务器接口地址是 https://api.weixin.qq.com/sns/oauth2/access_token。

注：网页授权 access_token 不同于 JS-SDK 中使用的全局唯一接口调用凭据 access_token，没有请求次数限制。 

流程既然通了，实现逻辑可以这样设定：

活动页面首先判断 Session 中是否有 openid 或 unionid，若有表示已授权登录；没有再判断地址栏是否有 code 参数，若有则调用代理授权页面所在服务器的接口，用 code 换 openid 和 unionid；没有则直接重定向到代理授权页面，带上 state。用 code 换 openid 和 unionid 时若成功则保存至 Session，若失败则仍然重定向到代理授权页面，带上 state，特别注意 state 中的活动页面地址确保没有 code 参数。

第④种 JSAPI支付授权目录：涉及到微信支付时用到，顾名思义是固定某一个网站内的某个目录，以“/”结尾。最多可添加 5 个。如果支付页面在目录 https://www.a.com/b/ 下，那么可以填写 https://www.a.com/b/ 或 https://www.a.com/（建议后者），暂未测试填写 https://a.com/ 会不会起作用。涉及支付安全，建议设置支付页面的最深一层不可写的目录，以防目录内被上传后门文件带来的安全隐患。

第⑤种 小程序业务域名：任何需要在小程序的 web-view 组件中打开的网页，都必须配置小程序业务域名，限制 20 个。该域名要求必须 https，可填入“任何级域名”（建议填顶级域名，即填写了 a.com 对 b.a.com 也有效。如果我们拥有顶级域名对应网站的控制权（上传验证文件到网站根目录），直接填写顶级域名即可）。

第⑥种 IP白名单：仅填写管理全局 access_token 的中控服务器的 IP。

 

总结：在上述自定义接口部署完成后，如果微信中的网页想获取用户的 unionid，则不需要配置域名，直接使用统一的代理授权即可；如果需要使用 JS-SDK 功能，如分享、上传等等，则需要配置 JS 接口安全域名；如果有表单，最好配置一下业务域名。

本文系个人经验总结，部分结果未经证实，欢迎指正！QQ：940534113

推荐：参考此文：如何升级 ASP.NET 项目 MySql.Data 和 Connector/NET 至 8.0.x

-------------------------------------------------------------------------------------------------------

这是 MySQL 官方提供的，用来帮助 .NET 开发者使用 LINQ 来方便操作 MySQL 数据库的解决方案。

我们所需要的软件全部被封装在 MySQL Installer 套件当中，非常方便。

下载后选择“Custom”自定义选择需要安装的产品和功能：

• MySQL Server - 在本机安装 MySQL 数据库，如果我们直接连接远程数据库则不需要安装

• MySQL for Visual Studio - 是一款 Visual Studio 插件，用于连接和管理 MySQL 数据库

• Connector/NET - ADO.NET 托管提供程序

使用也非常方便：

1. 在“服务资源管理器”中添加连接，更改数据源为“MySQL”。（如果没有该项，重启计算机试试；仍然没有，重新运行 MySQL Installer，选择“Modify ...”，勾选对应 VS 版本的“Visual Studio Integration”和“Entity Framework Designer Integration”）

2. 项目中“添加新项”，在“数据”中选择“ADO.NET 实体数据模型”，即 Entity Framework，而非“LINQ to SQL 类”，根据需要选择表、视图和存储过程

Windows Server 服务器上安装 MySQL Server 过程中（或安装完成后再次运行 MySQL Installer）可配置端口（同时配置防火墙）。

建议勾选安装 MySQL Workbench 来管理 MySQL 数据库。

新建用户时，主机填“%”即该用户允许远程连接。

如果报以下错误：

不支持直接到存储查询(DbSet、DbQuery、DbSqlQuery)的数据绑定。应使用数据填充 DbSet (例如通过对 DbSet 调用 Load)，然后绑定到本地数据。对于 WPF，绑定到 DbSet.Local。对于 WinForms，绑定到 DbSet.Local.ToBindingList()。

记得在绑定时加一个 .ToList() 即可。

如果发布后报以下错误：

找不到请求的 .Net Framework Data Provider。可能没有安装。

那么在服务器上安装 Connector/NET 即可。

如果在 VS 中连接此 EF 时如果遇到：

您的项目引用了最新版的实体框架；但是，找不到进行数据连接所需的与此版本兼容的实体框架数据库提供程序。请退出向导，安装兼容提供程序，重新生成您的项目，然后再执行此操作。

或

指定的架构无效。错误 0152: 未找到具有固定名称“MySql.Data.MySqlClient”的 ADO.NET 提供程序的实体框架提供程序。请确保在应用程序配置文件的“entityFramework”节中注册了该提供程序。有关详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkId=260882。

那么，只需在 NuGet 中搜索并重新安装 MySql.Data.Entity ，重新生成项目。如果仍然提示，请检查 Connector/NET 是否有更新。 

6.10.4 版本相关的问题参：MySQL Connector/Net 6.10.4 不支持 VS

本文是一个初学者对苹果开发证书的理解，有一定局限性，不适合所有苹果开发者参考，欢迎批评指正。

 

发布 iOS 应用主要有三块内容：Certificates, Identifiers & Profiles

Certificates（证书）：是用来给应用程序签名的

Identifiers（标识符）：一个应用对应一个 ID，相当于应用程序的身份证

Provisioning Profiles（描述文件）：它将证书、标识符、设备结合起来，形成一个描述文件，让 Xcode 知道需要打一个怎么样的 .ipa 包

 

如何创建证书

创建 App ID 就不详说了，不要使用带通配符的名称。值得一提的是，如果要使用推送，必须勾选“Push Notifications”，其它功能按需勾选。

创建证书，需要用到 Mac 电脑上的“钥匙串访问”来生成一个“本地证书”（CSR 文件）：

打开“钥匙串访问” - 证书助理 - 从证书颁发机构请求证书 - 保存到磁盘

然后就可以拿这个本地证书去 Apple Developer 里生成“开发证书”或“发布证书”（CER 文件）。打包证书和推送证书生成过程类似，区别是选择“App Store and Ad Hoc”还是“Apple Push Notification service SSL”。下载后添加到钥匙串就完成了。

添加测试设备就不提了。

然后就是描述文件，同样有开发和发布两种。开发主要是用于 Xcode 环境中；发布中还分两种：App Store 是用于正式上线的，Ad Hoc 是用于测试设备的。下一步选择 App ID，下一步选择证书，然后给 Profile 取个能够分辨的名字，生成的是一个 mobileprovision 文件。

 

提供证书文件给第三方打包平台

一般需要提供“iOS Distribution 证书”、“推送证书”、“Ad Hoc”和“App Store”类型的 Profiles、App ID 以及 iTunes Connect 中的 Apple ID（不是指登录的邮箱，是指在 iTunes Connect 中创建的 App 在商店中的 ID）。

证书其实跟 App ID 不是一一对应的关系，多个 App 是可以使用同一个证书的。可以单独创建，到期互不影响。Download 后是 .cer 格式，用“钥匙串”工具可以导出 .p12 证书并设置密码。

如果由于命名无序或创建错误导致无法分辨上架中的 App 用的是哪个证书，哪个描述文件，那么，首先要知道这个 App ID 是多少（就是 iTunes Connect 中所谓的“套装 ID”），然后在 Provisioning Profiles 中挨个查看对应的 App ID，点击“Edit”还能看到使用的证书。

有些平台需要 .pem 文件，是由 .p12 文件通过一个命令转化而来的，具体可以百度。

 

证书过期怎么办

创建一个呗，然后描述文件 Edit，选择新的证书。

 

推送证书过期怎么办

在 App ID 里 Edit 就能查看 Push Notifications 项的 SSL Certificate 是否过期。如果过期需要重新创建证书，可以直接在 App ID 的 Edit 里快捷创建（需要“钥匙串”配合）。

不用重新提交 App Store 审核

 

换一台电脑，证书要怎么导过去

这个问题适用于自己使用 Xcode 开发应用的情况，暂时问一下百度吧。

 

注：本文部分总结来自百度，未经证实。

Apple Push Services 和 APNs Production iOS 这两种类型有什么区别？

微信是一个生活方式，朋友圈是用户分享和关注朋友们生活点滴的空间，微信公众平台是一个企业、机构与个人用户之间交流和服务的平台。一直以来，微信致力于为用户提供绿色、健康的网络生态环境。通过《微信公众平台服务协议》、《微信公众平台运营规范》和《微信开放平台开发者服务协议》等相关协议及专项规则，微信公众平台和微信开放平台的内容得到了良好的管理。为了进一步优化微信用户的使用体验，更好地保障微信用户合法权益，现将非由微信公众平台产生（即域名地址不归属于微信公众平台）且在微信内传播的外部链接内容相关管理规范进行公示。

对于违反本规范的内容，一经发现将立即进行处理，包括但不限于停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行访问、屏蔽相关链接等。由微信公众平台或开放平台帐号施行或者发起的，一经查实，前述帐号、主体也将按照微信相关规则进行处罚，包括但不限于限制或禁止使用部分或全部功能、帐号封禁直至注销等，并公告处理结果；微信也有权依照本规范及相关协议、专项规则的规定，拒绝再向前述主体提供服务。

具体规则及相关处罚如下：

1. 诱导分享类内容

   1. 1.1 要求用户分享，分享后方可进行下一步操作，分享后方可知道答案等；

   2. 1.2 含有明示或暗示用户分享的文案、图片、按钮、弹层、弹窗等的，如：分享给好友、邀请好友一起完成任务等；

   3. 1.3 通过利益诱惑，诱导用户分享、传播外链内容或者微信公众帐号文章的，包括但不限于：现金奖励、实物奖品、虚拟奖品（红包、优惠券、代金券、积分、话费、流量、信息等）、集赞、拼团、分享可增加抽奖机会、中奖概率，以积分或金钱利益诱导用户分享、点击、点赞微信公众帐号文章等；

   4. 1.4 用夸张言语来胁迫、引诱用户分享的。包括但不限于：“不转不是中国人”、“请好心人转发一下”、“转发后一生平安”、“转疯了”、“必转”、“转到你的朋友圈朋友都会感激你”等；

      

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问，短期封禁相关开放平台帐号或应用的分享接口；对于情节恶劣的情况，永久封禁帐号、域名、IP地址或分享接口。 

2. 诱导关注类内容

   1. 强制或诱导用户关注公众帐号的，包括但不限于关注后查看答案、领取红包、关注后方可参与活动等；

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

3. H5游戏、测试类内容

   1. 以游戏、测试等方式，吸引用户参与互动的，具体形式包括但不限于比手速、好友问答、性格测试，测试签、网页小游戏等；

      

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

4. 欺诈类内容

   1. 4.1 虚假红包、活动

      通过虚假的红包、活动等形式，以赚取现金、实物奖品、虚拟奖品等方式欺骗用户参与的，具体形式包括但不限于虚假现金红包、虚假话费卡、虚假流量红包、虚假优惠券、虚假优惠活动等； 

   2. 4.2 宣传或销售侵害他人合法权益的商品

      通过虚假宣传、恶意营销等方式，向用户宣传或诱骗用户购买侵害他人合法权益的物品的，例如以骗取邮费为目的的赠送物品活动、虚假付费服务等； 

   3. 4.3 仿冒微信公众帐号排版、域名

      仿冒微信公众帐号文章排版、域名，可能造成微信用户混淆的；

      

      若内容中包含以上情况，一经发现，立即永久封禁帐号、域名、IP地址。 

5. 谣言类内容

   1. 发送不实信息，制造谣言，可能对他人、企业或其他机构造成损害的，例如自来水有毒、香蕉致癌、小龙虾不能吃等；

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问、短期封禁相关开放平台帐号或应用的分享接口；对于情节恶劣的情况，永久封禁帐号、域名、IP地址； 

6. 骚扰信息、广告信息及垃圾信息

   1. 传播骚扰、欺诈、垃圾广告等信息的，包括但不限于虚假中奖类信息，不符合国家相关法律法规的保健品、药品、食品类信息，假冒伪劣商品信息，虚假服务信息，虚假网络货币等；

   2. 若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

7. 题文不符、内容低俗的信息

   1. 7.1 题文不符的信息

      故意拟制耸动标题，或以明显倾向性、误导性、煽动性的标题吸引他人点击的，即俗称“标题党”； 

   2. 7.2 内容低俗的信息

      涉及性器官、性行为、性暗示的，传播低级趣味、庸俗、有伤风化内容的，或者宣扬暴力、恶意谩骂、侮辱他人内容的，例如：传播走光、偷拍、露点、一夜情、换妻、性虐待、情色动漫、非法性药品广告和性病治疗广告、推介淫秽色情网站等；

      

      若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。 

8. 非法获取用户数据、信息

   1. 未经用户明确同意，并向用户如实披露数据用途、使用范围等相关信息的情形下复制、存储、使用或传输用户数据的，包括但不限于要求用户共享个人信息（手机号、出生日期等）才可使用其功能，或收集用户密码或者用户个人信息（包括但不限于，手机号，身份证号，生日，住址等）；

   2. 若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问，短期封禁相关帐号；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。

9. 其它违反国家法律法规的内容，包括但不限于：

   1. (1) 违反宪法确定的基本原则的；

   2. (2) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；

   3. (3) 损害国家荣誉和利益的；

   4. (4) 煽动民族仇恨、民族歧视，破坏民族团结的；

   5. (5) 破坏国家宗教政策，宣扬邪教和封建迷信的；

   6. (6) 散布谣言，扰乱社会秩序，破坏社会稳定的；

   7. (7) 散布淫秽、色情、赌博、暴力、恐怖或者教唆犯罪的；

   8. (8) 侮辱或者诽谤他人，侵害他人合法权益的；

   9. (9) 煽动非法集会、结社、游行、示威、聚众扰乱社会秩序；

   10. (10) 以非法民间组织名义活动的；

   11. (11) 含有法律、行政法规禁止的其他内容的。

   12.  

       若内容中包含以上情况，一经发现，立即停止链接内容在朋友圈继续传播、停止对相关域名或IP地址进行的访问，短期封禁相关帐号；对于情节恶劣的情况，永久封禁帐号、域名、IP地址。

申诉及常见问题可查看：http://kf.qq.com/faq/131117ne2MV7141117JzI32q.html

微信团队请用户主动遵守上述条款，也欢迎用户对违反微信链接类内容管理规范的内容进行投诉，一经核实，微信团队将立即按照规范进行处理。让我们共同创建并维护和谐的微信生态！

 

微信团队

在 ASP.NET 网站开发过程中，若提交的表单中包含有 HTML 代码，为了安全，.NET 会自动阻止提交，并抛出异常：

从客户端(......)中检测到有潜在危险的 Request.Form 值。

以前的做法是

WebFrom：在 <%@ Page %> 中加入 ValidateRequest="false"

MVC：给 Action 加上属性 [ValidateInput(false)]

显然这会给网站带来极大的风险，不推荐！

以下做法可以完美解决这个问题。

客户端把内容进行 HTML 编码，如：

content = $("<div />").text(content).html();

服务端把内容进行 HTML 解码，如：

string title = HttpUtility.HtmlDecode(Request.Form["content"]);

Android 系统要求每一个安装进系统的应用程序都是经过数字证书签名的，数字证书的私钥则保存在程序开发者的手中。Android 系统将数字证书用于在应用程序的作者和应用程序之间建立信任关系，但并不用于决定最终用户可以安装哪些应用程序。这个数字证书并不需要权威的数字证书签名机构认证，它只是用于应用程序包自我认证的。

Android 数字证书包含以下几个要点：

（1）所有的应用程序都必须有数字证书，Android 系统不会安装一个没有数字证书的应用程序

（2）Android 程序包使用的数字证书可以是自签名的，不需要一个权威的数字证书机构签名认证

（3）如果要正式发布一个 Android 应用程序安装包，必须使用一个合适的私钥生成的数字证书来给程序签名，而不能使用如 ant 工具等生成的调试证书来发布。

（4）数字证书包含应用程序所有者姓名，所在组织，国家，证书创建时间，证书有效期等信息。

（5）Android 使用标准的 Java 工具 Keytool and Jarsigner 来生成数字证书，并给应用程序包签名。

（6）Android 数字证书跟包名无关，多个不同包名的应用程序安装包可使用同一个数字证书对其进行签名。

（7）Android 系统不会覆盖安装运行包名相同，签名证书不同的两个安装包。

注意：如果您的 App 已经上线 Android 市场，或者已经正式发布，有用户已经正式使用了，切勿再更换签名证书，否则，App 在自动更新覆盖安装升级时，Android 系统将会认为新签名证书的 App 安装包是“非法签名”的 App，而不予安装，导致更新失败，流失用户。

编者按：今天腾讯万技师同学的这篇技术总结必须强烈安利下，目录清晰，层次分明，每个接口都有对应的简介、系统要求、实例、核心代码以及超实用的思维发散，帮你直观把这些知识点get起来。以现在HTML 5的势头，同志们，你看到的这些，可都是钱呐。

十二年前，无论多么复杂的布局，在我们神奇的table面前，都不是问题；

十年前，阿捷的一本《网站重构》，为我们开启了新的篇章；

八年前，我们研究yahoo.com，惊叹它在IE5下都表现得如此完美；

六年前，Web标准化成了我们的基础技能，我们开始研究网站性能优化；

四年前，我们开始研究自动化工具，自动化测试，谁没玩过nodejs都不好意思说是页面仔；

二年前，各种终端风起云涌，响应式、APP开发都成为了我们研究的范围，CSS3动画开始风靡；

如今，CSS3动画、Canvas、SVG、甚至webGL你已经非常熟悉，你是否开始探寻，接下来，我们可以玩什么，来为我们项目带来一丝新意？

没错，本文就是以HTML5 Device API为核心，对HTML5的一些新接口作了一个完整的测试，希望能让大家有所启发。

目录：

一、让音乐随心而动 – 音频处理 Web audio API
二、捕捉用户摄像头 – 媒体流 Media Capture
三、你是逗逼？ – 语音识别 Web Speech API
四、让我尽情呵护你 – 设备电量 Battery API
五、获取用户位置 – 地理位置 Geolocation API
六、把用户捧在手心 – 环境光 Ambient Light API
七、陀螺仪 Deviceorientation
八、Websocket
九、NFC
十、震动 - Vibration API
十一、网络环境 Connection API

一、让音乐随心而动 – 音频处理 Web audio API

简介：

Audio对象提供的只是音频文件的播放，而Web Audio则是给了开发者对音频数据进行分析、处理的能力，比如混音、过滤。

系统要求：

ios6+、android chrome、android firefox

实例：

http://sy.qq.com/brucewan/device-api/web-audio.html

核心代码：

var context = new webkitAudioContext();
var source = context.createBufferSource();   // 创建一个声音源
source.buffer = buffer;   // 告诉该源播放何物 
createBufferSourcesource.connect(context.destination);   // 将该源与硬件相连
source.start(0); //播放

技术分析：

当我们加载完音频数据后，我们将创建一个全局的AudioContext对象来对音频进行处理，AudioContext可以创建各种不同功能类型的音频节点AudioNode，比如

1、源节点（source node）

我们可以使用两种方式加载音频数据：
<1>、audio标签

var sound, audio = new Audio();
audio.addEventListener('canplay', function() {
 sound = context.createMediaElementSource(audio);
 sound.connect(context.destination);
});
audio.src = '/audio.mp3';

<2>、XMLHttpRequest

var sound, context = createAudioContext();
var audioURl = '/audio.mp3'; // 音频文件URL
var xhr = new XMLHttpRequest();
xhr.open('GET', audioURL, true);
xhr.responseType = 'arraybuffer'; 
xhr.onload = function() {
 context.decodeAudioData(request.response, function (buffer) {
 source = context.createBufferSource();
 source.buffer = buffer;
 source.connect(context.destination);
 }
}
xhr.send();

2、分析节点（analyser node）

我们可以使用AnalyserNode来对音谱进行分析，例如：

var audioCtx = new (window.AudioContext || window.webkitAudioContext)();
var analyser = audioCtx.createAnalyser();
analyser.fftSize = 2048;
var bufferLength = analyser.frequencyBinCount;
var dataArray = new Uint8Array(bufferLength);
analyser.getByteTimeDomainData(dataArray);

function draw() {
 drawVisual = requestAnimationFrame(draw);
 analyser.getByteTimeDomainData(dataArray);
 // 将dataArray数据以canvas方式渲染出来
};

draw();

3、处理节点（gain node、panner node、wave shaper node、delay node、convolver node等）

不同的处理节点有不同的作用，比如使用BiquadFilterNode调整音色（大量滤波器）、使用ChannelSplitterNode分割左右声道、使用GainNode调整增益值实现音乐淡入淡出等等。

需要了解更多的音频节点可能参考：
https://developer.mozilla.org/en-US/docs/Web/API/Web_Audio_API

4、目的节点（destination node）

所有被渲染音频流到达的最终地点

思维发散：

1、可以让CSS3动画跟随背景音乐舞动，可以为我们的网页增色不少；
2、可以尝试制作H5酷酷的变声应用，增加与用户的互动；
3、甚至可以尝试H5音乐创作。

看看google的创意：http://v.youku.com/v_show/id_XNTk0MjQyNDMy.html

二、捕捉用户摄像头 – 媒体流 Media Capture

简介：

通过getUserMedia捕捉用户摄像头获取视频流和通过麦克风获取用户声音。

系统要求：

android chrome、android firefox

实例：

捕获用户摄像头 捕获用户麦克风

http://sy.qq.com/brucewan/device-api/camera.html

http://sy.qq.com/brucewan/device-api/microphone-usermedia.html

核心代码：

1、摄像头捕捉

navigator.webkitGetUserMedia ({video: true}, function(stream) {
 video.src = window.URL.createObjectURL(stream);
 localMediaStream = stream;
}, function(e){

})

2、从视频流中拍照

btnCapture.addEventListener('touchend', function(){
	if (localMediaStream) {
		canvas.setAttribute('width', video.videoWidth);
		canvas.setAttribute('height', video.videoHeight);
		ctx.drawImage(video, 0, 0);
	}
}, false);

3、用户声音录制

navigator.getUserMedia({audio:true}, function(e) {
	context = new audioContext();
	audioInput = context.createMediaStreamSource(e);	
	volume = context.createGain();
	recorder = context.createScriptProcessor(2048, 2, 2);
	recorder.onaudioprocess = function(e){
		recordingLength += 2048;
		recorder.connect (context.destination); 
	}	
}, function(error){});

4、保存用户录制的声音

var buffer = new ArrayBuffer(44 + interleaved.length * 2);
var view = new DataView(buffer);
fileReader.readAsDataURL(blob); // android chrome audio不支持blob
… audio.src = event.target.result;

思维发散：

1、从视频拍照自定义头像；
2、H5视频聊天；
3、结合canvas完成好玩的照片合成及处理；
4、结合Web Audio制作有意思变声应用。

三、你是逗逼？ – 语音识别 Web Speech API简介：

1、将文本转换成语音；
2、将语音识别为文本。

系统要求：
ios7+，android chrome，android firefox

测试实例：

http://sy.qq.com/brucewan/device-api/microphone-webspeech.html

核心代码：

1、文本转换成语音，使用SpeechSynthesisUtterance对象；

var msg = new SpeechSynthesisUtterance();
var voices = window.speechSynthesis.getVoices();
msg.volume = 1; // 0 to 1
msg.text = ‘识别的文本内容’;
msg.lang = 'en-US';
speechSynthesis.speak(msg);

2、语音转换为文本，使用SpeechRecognition对象。

var newRecognition = new webkitSpeechRecognition();
newRecognition.onresult = function(event){
	var interim_transcript = ''; 
	for (var i = event.resultIndex; i < event.results.length; ++i) {
		final_transcript += event.results[i][0].transcript;
	}
};

测试结论：

1、Android支持不稳定；语音识别测试失败（暂且认为是某些内置接口被墙所致）。

思维发散：

1、当语音识别成为可能，那声音控制将可以展示其强大的功能。在某些场景，比如开车、网络电视，声音控制将大大改善用户体验；
2、H5游戏中最终分数播报，股票信息实时声音提示，Web Speech都可以大放异彩。

 四、让我尽情呵护你 – 设备电量 Battery API简介：

查询用户设备电量及是否正在充电。

系统要求：

android firefox

测试实例：

http://sy.qq.com/brucewan/device-api/battery.html

核心代码：

var battery = navigator.battery || navigator.webkitBattery || navigator.mozBattery || navigator.msBattery;
var str = '';
if (battery) {
 str += '<p>你的浏览器支持HTML5 Battery API</p>';
 if(battery.charging) {
 str += '<p>你的设备正在充电</p>';
} else {
 str += '<p>你的设备未处于充电状态</p>';
}
 str += '<p>你的设备剩余'+ parseInt(battery.level*100)+'%的电量</p>';
} else {
 str += '<p>你的浏览器不支持HTML5 Battery API</p>';
}

测试结论：

1、QQ浏览器与UC浏览器支持该接口，但未正确显示设备电池信息；
2、caniuse显示android chrome42支持该接口，实测不支持。

思维发散：

相对而言，我觉得这个接口有些鸡肋。
很显然，并不合适用HTML5做电池管理方面的工作，它所提供的权限也很有限。
我们只能尝试做一些优化用户体验的工作，当用户设备电量不足时，进入省电模式，比如停用滤镜、摄像头开启、webGL、减少网络请求等。

 五、获取用户位置 – 地理位置 Geolocation简介：

Geolocation API用于将用户当前地理位置信息共享给信任的站点，目前主流移动设备都能够支持。

系统要求：

ios6+、android2.3+

测试实例：

http://sy.qq.com/brucewan/device-api/geolocation.html

核心代码：

var domInfo = $("#info");

// 获取位置坐标
if (navigator.geolocation) {
	navigator.geolocation.getCurrentPosition(showPosition,showError);
}
else{
	domInfo.innerHTML="抱歉，你的浏览器不支持地理定位！";
}

// 使用腾讯地图显示位置
function showPosition(position) {
	var lat=position.coords.latitude;
	var lon=position.coords.longitude;

	mapholder = $('#mapholder')
	mapholder.style.height='250px';
	mapholder.style.width = document.documentElement.clientWidth + 'px';

	var center = new soso.maps.LatLng(lat, lon);
	var map = new soso.maps.Map(mapholder,{
		center: center,
		zoomLevel: 13
	});

	var geolocation = new soso.maps.Geolocation();
	var marker = null;
	geolocation.position({}, function(results, status) {
		console.log(results);
		var city = $("#info");
		if (status == soso.maps.GeolocationStatus.OK) {
			map.setCenter(results.latLng);
			domInfo.innerHTML = '你当前所在城市: ' + results.name;
		if (marker != null) {
			marker.setMap(null);
		}
		// 设置标记
		marker = new soso.maps.Marker({
			map: map,
			position:results.latLng
		});
		} else {
			alert("检索没有结果，原因: " + status);
		}
	});
}

测试结论：

1、Geolocation API的位置信息来源包括GPS、IP地址、RFID、WIFI和蓝牙的MAC地址、以及GSM/CDMS的ID等等。规范中没有规定使用这些设备的先后顺序。
2、初测3g环境下比wifi环境理定位更准确；
3、测试三星 GT-S6358(android2.3) geolocation存在，但显示位置信息不可用POSITION_UNAVAILABLE。

六、把用户捧在手心 – 环境光 Ambient Light简介：

Ambient Light API定义了一些事件，这些时间可以提供源于周围光亮程度的信息，这通常是由设备的光感应器来测量的。设备的光感应器会提取出辉度信息。

系统要求：

android firefox

测试实例：

http://sy.qq.com/brucewan/device-api/ambient-light.html

核心代码：

这段代码实现感应用前当前环境光强度，调整网页背景和文字颜色。

var domInfo = $('#info');
if (!('ondevicelight' in window)) {
	domInfo.innerHTML = '你的设备不支持环境光Ambient Light API';
} else {
	var lightValue = document.getElementById('dl-value');
	window.addEventListener('devicelight', function(event) {
		domInfo.innerHTML = '当前环境光线强度为：' + Math.round(event.value) + 'lux';
		var backgroundColor = 'rgba(0,0,0,'+(1-event.value/100) +')';
		document.body.style.backgroundColor = backgroundColor;
		if(event.value < 50) {
			document.body.style.color = '#fff'
		} else {
			document.body.style.color = '#000'
		}
	});
}

思维发散：

该接口适合的范围很窄，却能做出很贴心的用户体验。

1、当我们根据Ambient Light强度、陀螺仪信息、当地时间判断出用户正躺在床上准备入睡前在体验我们的产品，我们自然可以调整我们背景与文字颜色让用户感觉到舒适，我们还可以来一段安静的音乐，甚至使用Web Speech API播报当前时间，并说一声“晚安”，何其温馨；

2、该接口也可以应用于H5游戏场景，比如日落时分，我们可以在游戏中使用安静祥和的游戏场景；

3、当用户在工作时间将手机放在暗处，偷偷地瞄一眼股市行情的时候，我们可以用语音大声播报，“亲爱的，不用担心，你的股票中国中车马上就要跌停了”，多美的画面。

参考文献：
https://developer.mozilla.org/en-US/docs/Web/API
http://webaudiodemos.appspot.com/
http://www.w3.org/2009/dap/