Ginew.Z 的博客

href="#" vs. href="javascript:void(0)"

<a href="javascript:void(0)" onclick="doSomething();returnfalse;">Link</a>

這是一個(gè)曾經(jīng)被多次討論過(guò)的問(wèn)題，長(zhǎng)期以來(lái)，我也一直是這樣寫(xiě)的。讀了 a href=”javascript:void(0);” — avoid the void 之后，我認(rèn)同了作者的意見(jiàn)。下面的寫(xiě)法確實(shí)更合理：

<a href="#" onclick="doSomething();returnfalse;">Link</a>

或者

<script type="javascript">
function doSomething() {
  //doSomething
  returnfalse;
}
</script>
<a href="#" onclick="return doSomething();">Link</a>

以往大家不使用"#"的問(wèn)題是，這將導(dǎo)致點(diǎn)擊鏈接時(shí)頁(yè)面跳回頁(yè)面頂部，但通過(guò) return false 語(yǔ)句將使得瀏覽器忽略鏈接的默認(rèn)動(dòng)作，從而避免了此問(wèn)題。

youngpup 更有意思，他在How to Create Pop-Up Windows 中言辭激烈的倡導(dǎo)大家永遠(yuǎn)永遠(yuǎn)永遠(yuǎn)不要使用 javascript: 偽協(xié)議：

Never, ever, ever use the javascript: pseudo-protocol for anything, ever ever ever ever again. Please. Pretty please.

他的解決方案是：

<a 
  href="http://google.com/" 
  onclick="window.open(this.href, 'popupwindow', 
  'width=400,height=300,scrollbars,resizable'); 
  returnfalse;">

這樣的好處就是可以保存到書(shū)簽或者收藏夾，可以左鍵單擊，也可以右鍵使用！

???? 我們打算為用戶(hù)架設(shè)單獨(dú)的虛擬主機(jī)服務(wù)器，可以讓企業(yè)自主上傳jsp、htm、php等程序。其中resin用來(lái)做jsp的容器。
???? 由于是用戶(hù)自主通過(guò)FTP上傳程序，我們必須控制這些程序可以執(zhí)行的權(quán)限，不能讓用戶(hù)隨便瀏覽硬盤(pán)上的文件，但又要能讓resin可以正常運(yùn)行。比如：/data/user_a目錄中的程序，只能在/data/user_a目錄及其子目錄中讀寫(xiě)，如果想要訪問(wèn)其他目錄，就沒(méi)有權(quán)限。
???? 通過(guò)研究resin的文檔以及JAVA的機(jī)制，我認(rèn)為要實(shí)現(xiàn)以上構(gòu)想，可以通過(guò)使用java權(quán)限管理器來(lái)構(gòu)建一個(gè)resin的沙箱來(lái)對(duì)java的具體操作進(jìn)行授權(quán)。
參考文檔：http://www.caucho.com/resin-3.0/security/securitymanager.xtp ，http://www.jscud.com/srun/news/viewhtml/3_2005_10/148.htm

???? 當(dāng)我認(rèn)為勝利在望的時(shí)候，發(fā)現(xiàn)resin好像不支持grant codeBase "file:xxxx 。

grant codeBase "file:/data/ftpdata/user01.test.com/-" {
?permission java.io.FilePermission "/data/ftpdata/user01.test.com/-", "read,write,delete";
};
???? 上面的語(yǔ)句，語(yǔ)法上沒(méi)有問(wèn)題，但就是不起作用。那個(gè)codebase目錄下的文件，對(duì)本目錄沒(méi)有任何權(quán)限。

??????? resin的官方論壇里面，有人在2001年，針對(duì)resin1.2.5就提出了和我一摸一樣的疑問(wèn)（http://www.caucho.com/support/resin-interest/0105/0106.html），作者發(fā)現(xiàn)問(wèn)題是由于resin的classloader是非安全的，因此改了resin原文件后解決了問(wèn)題（http://www.caucho.com/support/resin-interest/0105/0112.html），但是我看resin3的源代碼，里面已經(jīng)基于java.security.SecureClassLoader，因此應(yīng)該不是這個(gè)原因了。
???? 以下是我的resin.policy文件：

grant codeBase "file:${java.home}/lib/-" {
?permission java.security.AllPermission;
};

grant codeBase "file:${java.home}/jre/lib/-" {
?permission java.security.AllPermission;
};

grant codeBase "file:${resin.home}/lib/-" {
?permission java.security.AllPermission;
};

grant {
?permission java.util.PropertyPermission "*", "read";
?permission java.io.SerializablePermission "enableSubstitution";
?permission java.lang.reflect.ReflectPermission "suppressAccessChecks";?
?permission java.lang.RuntimePermission "accessClassInPackage.*";
?permission java.lang.RuntimePermission "getClassLoader";
?permission java.lang.RuntimePermission "accessDeclaredMembers";
?permission java.lang.RuntimePermission "modifyThreadGroup";
?permission java.lang.RuntimePermission "setContextClassLoader";
?permission java.lang.RuntimePermission "setIO";
?permission java.lang.RuntimePermission "stopThread";
?permission java.lang.RuntimePermission "createClassLoader";
?permission java.lang.RuntimePermission "getProtectionDomain";
?permission java.lang.RuntimePermission "defineClassInPackage";
?permission java.security.SecurityPermission "putProviderProperty.SunJCE";
?permission java.security.SecurityPermission "insertProvider.SunJCE";
?permission java.util.logging.LoggingPermission "control";
?permission java.lang.RuntimePermission "getAttribute";
?permission java.util.PropertyPermission "jaxp.debug", "read";
?permission ognl.OgnlInvokePermission "invoke.*";
?permission java.net.SocketPermission "localhost:3306","connect";
?permission java.io.FilePermission "${resin.home}/-", "read";
?permission java.io.FilePermission "${java.home}/-", "read";
?permission java.io.FilePermission "/tmp/-","read,write,delete";
?permission java.io.FilePermission "/tmp","read,write,delete";
?permission java.io.FilePermission ".","read";
?permission java.io.FilePermission "/home/apps/java/jdk/lib/tools.jar","read";
?permission java.io.FilePermission "/bin/sh", "read,execute";
};

//以下語(yǔ)句沒(méi)有任何作用，/data/ftpdata/user01.test.com/下的jsp對(duì)這個(gè)目錄沒(méi)有讀的權(quán)限
grant codeBase "file:/data/ftpdata/user01.test.com/-" {
?permission java.io.FilePermission "/data/ftpdata/user01.test.com/-", "read,write,delete";
};

• 確保軟件自始至終都以開(kāi)放源代碼形式發(fā)布，保護(hù)開(kāi)發(fā)成果不被竊取用作商業(yè)發(fā)售。任何一套軟件，只要其中使用了受 GPL 協(xié)議保護(hù)的第三方軟件的源程序，并向非開(kāi)發(fā)人員發(fā)布時(shí)，軟件本身也就自動(dòng)成為受 GPL 保護(hù)并且約束的實(shí)體。也就是說(shuō)，此時(shí)它必須開(kāi)放源代碼。
  
  
• GPL 大致就是一個(gè)左側(cè)版權(quán)（Copyleft，或譯為“反版權(quán)”、“版權(quán)屬左”、“版權(quán)所無(wú)”、“版責(zé)”等）的體現(xiàn)。你可以去掉所有原作的版權(quán) 信息，只要你保持開(kāi)源，并且隨源代碼、二進(jìn)制版附上 GPL 的許可證就行，讓后人可以很明確地得知此軟件的授權(quán)信息。GPL 精髓就是，只要使軟件在完整開(kāi)源 的情況下，盡可能使使用者得到自由發(fā)揮的空間，使軟件得到更快更好的發(fā)展。
  
  
• 無(wú)論軟件以何種形式發(fā)布，都必須同時(shí)附上源代碼。例如在 Web 上提供下載，就必須在二進(jìn)制版本（如果有的話(huà)）下載的同一個(gè)頁(yè)面，清楚地提供源代碼下載的鏈接。如果以光盤(pán)形式發(fā)布，就必須同時(shí)附上源文件的光盤(pán)。
  
  
• 開(kāi)發(fā)或維護(hù)遵循 GPL 協(xié)議開(kāi)發(fā)的軟件的公司或個(gè)人，可以對(duì)使用者收取一定的服務(wù)費(fèi)用。但還是一句老話(huà)——必須無(wú)償提供軟件的完整源代碼，不得將源代碼與服務(wù)做捆綁或任何變相捆綁銷(xiāo)售。
  

?