无数市肆都在品尝用工程化的不二诀窍去提高前

2019-09-11 作者:小鱼儿主页高手论坛   |   浏览(136)

至于启用 HTTPS 的一对经历共享(二)

2015/12/24 · 基础技巧 · HTTP, HTTPS

原稿出处: imququ(@屈光宇)   

小说目录

  • SSL 版本接纳
  • 加密套件选拔
  • SNI 扩展
  • 证件选用

几天前,一个人朋友问小编:都说推荐用 Qualys SSL Labs 这些工具测量检验 SSL 安全性,为何有些安全实力很强的大商家评分也非常低?小编觉着这么些主题材料应该从两上边来看:1)我国客商终端意况复杂,相当多时候降落 SSL 安全布局是为着同盟越来越多顾客;2)确实有局地大商家的 SSL 配置很半间不界,非常是计划了有的肯定不应该使用的 CipherSuite。

本人事先写的《至于启用 HTTPS 的一对经历分享(一)》,首要介绍 HTTPS 如何与一些新出的达州专门的学问协作使用,面向的是当代浏览器。而明日那篇小说,越来越多的是介绍启用 HTTPS 进度中在老旧浏览器下或者遇见的难点,以及哪些抉择。

即接纳了 https 也绝不通过 query strings 传敏感数据

2017/10/16 · 基本功技术 · HTTPS

本文由 伯乐在线 - xiaoheike 翻译,艾凌风 校稿。未经许可,禁止转发!
德文出处:HttpWatch。款待参加翻译组。

劳务器端的 log 将公开记下完整 url;浏览器上的拜候历史也会当着记下完整 url;Referrer headers 里也忠实记下完整 url,然后在外人家的 GoogleAnalytics 上显得。

大家平日听到的三个大范围难点是:“URL 中的参数是不是可以安全地传递到平安网址?”这几个题目时常出现在客商看了 HttpWatch 捕获的 HTTPS 央求后,想知道还应该有何人能够看出这几个数据。

 

比如,倘诺在三个查询中,使用如下安全的 URL 传递密码字符串:

HttpWatch 能够显得安全伏乞的剧情,因为它与浏览器集成,由此它能够在 HTTPS 请求的 SSL 连接对数码加密以前查看数据。小鱼儿主页高手论坛 1

借使您利用互联网嗅探器查看,举个例子 Network Monitor,对于同二个伸手,你只好够查阅加密从此的数量。在数码包追踪中未有可知的网站,标题或内容:

小鱼儿主页高手论坛 2

您能够信任 HTTPS 央浼是高枕而卧的,只要:

  • 未忽略任何SSL证书警告
  • Web 服务器用于运维 SSL 连接的私钥在 Web 服务器本人之外不可用。

于是,在互联网规模,URL 参数是安全的,可是还有一部分其余依据 URL 泄漏数据的办法:

  1. URL 存款和储蓄在 Web 服务器日志中–平时每一个诉求的完全 URL 都被存放在服务器日志中。那意味 URL 中的任何敏感数据(举个例子密码)会以公开格局保留在服务器上。以下是应用查询字符串通过 HTTPS小鱼儿主页高手论坛, 发送密码时存款和储蓄在 httpwatch.com 服务器日志中的条款: **二〇〇八-02-20 10:18:27 W3SVC4326 WWW 208.101.31.210 GET /Default.htm password=mypassword 443 … 平时感觉正是是在服务器上,储存明文密码一贯都不是好主见 2.URLs are stored in the browser history – browsers save URL parameters in their history even if the secure pages themselves are not cached. Here’s the IE history displaying the URL parameter:
  2. URL 存款和储蓄在浏览器历史记录中–即便安全网页自个儿未缓存,浏览器也会将 URL 参数保存在其历史记录中。以下是 IE 的历史记录,展现了 URL 的乞求参数:小鱼儿主页高手论坛 3

要是客户创造书签,查询字符串参数也将被存放。

  1. URLReferrer 乞请头中被传送–即便贰个安然无事网页使用财富,比如 javascript,图片可能深入分析服务,URL 将通过 Referrer 央求头传递到每一个放置对象。不经常,查询字符串参数恐怕被传送并寄放在第三方站点。在 HttpWatch 中,你能够看看大家的密码字符串正被发送到 Google Analytics小鱼儿主页高手论坛 4

结论

消除那一个难点亟待两步:

  • 唯有在相对须求的事态下传递敏感数据。一旦顾客被认证,最佳使用全部有限生命周期的会话 ID 来标志它们。

选拔会话层级的 cookies 传递消息的独到之处是:

  • 它们不会蕴藏在浏览器历史记录中或磁盘上
  • 它们平日不存储在服务器日志中
  • 它们不会传送到嵌入式财富,举例图片或 JavaScript
  • 它们仅适用于央求它们的域和路径

以下是大家的在线商号中,用于识别客商的 ASP.NET 会话 cookie 示例:

小鱼儿主页高手论坛 5

请注意,cookie 被限定在域 store.httpwatch.com,何况在浏览器会话甘休时过期(即不会积累到磁盘)。

你当然能够透过 HTTPS 传递查询字符串,不过毫无在可能出现安全主题素材的情景下接纳。譬喻,你能够高枕而卧的采取它们展现部分数字或许项目,像 accountview 或者 printpage,可是毫无使用它们传递密码,银行卡号码大概其余不应该通晓的音信。

1 赞 收藏 评论

摄像播放–踩坑小计

2018/06/09 · JavaScript · 视频

原来的书文出处: chenjsh36   

 

乘机流量时期的到来和硬件技艺的进级,更多的网址希望能在PC端或挪动端播放自个儿的摄像,而 <video>的包容性的逐级周密,使得开采者更愿意利用它来兑现录制播放场景。

本篇作品主要罗列__录像播放的通用场景及各场景下踩过的坑__,希望能__帮助开拓者在碰着供给开荒时能更加快地挑选适当的工夫方案同期削减采坑的次数__。

座谈前后端的分工合作

2015/05/15 · HTML5 · 1 评论 · Web开发

初稿出处: 小胡子哥的博客(@Barret李靖)   

前后端分工合作是二个老调重弹的大话题,相当多集团都在品味用工程化的方法去进步前后端之间调换的功效,收缩交换花费,並且也支出了大量的工具。不过大约平昔不一种形式是令双方都很中意的。事实上,也不只怕让全数人都知足。根本原因仍旧前后端之间的混杂远远不足大,沟通的着力往往只限于接口及接口往外扩散的一有个别。那也是干吗大多市廛在招聘的时候希望前端职员纯熟驾驭一门后台语言,后端同学理解前端的连锁知识。

SSL 版本选用

TLS(Transport Layer Security,传输层安全)的前身是 SSL(Secure Sockets Layer,避孕套接字层),它最早的多少个本子(SSL 1.0、SSL 2.0、SSL 3.0)由网景集团开销,从 3.1 起首被 IETF 规范化并改名,发展到现在已经有 TLS 1.0、TLS 1.1、TLS 1.2 四个版本。TLS 1.3 更动会非常大,近来还在草案阶段。

SSL 1.0 从未公开过,而 SSL 2.0 和 SSL 3.0 都设有安全主题素材,不推荐使用。Nginx 从 1.9.1 起始私下认可只协助 TLS 的八个本子,以下是 Nginx 法定文书档案中对 ssl_protocols 配置的验证:

Syntax: ssl_protocols [SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2];
Default: ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Context: http, server
Enables the specified protocols. The TLSv1.1 and TLSv1.2 parameters work only when the OpenSSL library of version 1.0.1 or higher is used.

但不幸的是,IE 6 只支持 SSLv2 和 SSLv3(来源),也正是说 HTTPS 网址要帮助 IE 6,就不可能不启用 SSLv3。仅这一项就能够招致 SSL Labs 给出的评分降为 C。

关于作者:xiaoheike

小鱼儿主页高手论坛 6

简要介绍还没赶趟写 :) 个人主页 · 我的稿子 · 10 ·      

小鱼儿主页高手论坛 7

此情此景一:自动播放

autoPlay 布尔属性;钦命后,摄像会立时自动开播,不会停下来等着数量载入甘休。

录制自动播放能够在页面张开且资源加载充裕的情形下让摄像自动播放,减少贰遍客商点击的交互,同不经常候能够行使在动效背景、H5仿视频通话的功能。可是出于各样原因,自动播放无论在PC端还是移动端都有例外档期的顺序的限量。

一、开辟流程

前端切完图,管理好接口音讯,接着就是把静态demo交给后台去拼接,那是形似的流程。这种流程存在大多的劣点。

  • 后端同学对文件举行拆分拼接的时候,由于对前面四个知识素不相识,也许会搞出一堆bug,到最后又要求前端同学支持深入分析原因,而后面一个同学又不是特地询问后端使用的沙盘,形成难堪的层面。
  • 假若前端未有动用统一化的文本夹结构,而且静态能源(如图片,css,js等)未有脱离出来放到 CDN,而是利用相对路线去引用,当后端同学供给对静态能源作相关安插时,又得修改各类link,script标签的src属性,轻巧出错。
  • 接口难点
    1. 后端数据尚未筹划好,前端要求协和模仿一套,开销高,假使中期接口有变动,自身模仿的那套数据又不行了。
    2. 后端数据已经付出好,接口也打算好了,本地须要代理线上数据开展测验。这里有多少个麻烦的地点,一是内需代理,不然恐怕跨域,二是接口消息一旦改变,中期接你项指标人需求改你的代码,麻烦。
  • 不实惠调节输出。为了让首屏加载速度快一些,我们期望后端先吐出一点数额,剩下的才去 ajax 渲染,但让后端吐出有个别数量,大家不佳控。

理之当然,存在的标题远不仅仅上边枚举的这几个,这种守旧的办法实际上是不酷(Kimi 附身^_^)。还应该有一种开拓流程,SPA(single page application),前后端职责格外清楚,后端给自家接口,作者全体用 ajax 异步伏乞,这种措施,在现世浏览器中能够利用 PJAX 稍微升高体验,脸书早在三八年前对这种 SPA 的格局提出了一套建设方案,quickling bigpipe,解决了 SEO 以及数额吐出过慢的主题材料。他的弱项也是十分鲜明的:

  • 页面太重,前端渲染专门的工作量也大
  • 首屏依然慢
  • 上下端模板复用不了
  • SEO 如故很狗血(quickling 架构费用高)
  • history 处理麻烦

难点多的已经是无力戏弄了,当然她依旧有和谐的优势,我们也无法一票否决。

针对地点看到的难点,以往也会有局地公司在品尝前后端之间加贰个中间层(比如天猫商城UED的 MidWay )。那在那之中间层由前端来决定。

JavaScript

---------------- | F2E | ---↑--------↑--- | | ---↓--------↓--- | Middle | ---↑--------↑--- | | ---↓--------↓--- | R2E | ----------------

1
2
3
4
5
6
7
8
9
10
11
     ----------------
    |       F2E      |
     ---↑--------↑---
        |        |
     ---↓--------↓---
    |     Middle     |
     ---↑--------↑---
        |        |  
     ---↓--------↓---
    |       R2E      |
     ----------------

中间层的坚守就是为着越来越好的调整数据的出口,如若用MVC模型去解析这一个接口,途乐2E(后端)只肩负M(数据) 那有的,Middle(中间层)管理数量的显现(蕴涵 V 和 C)。TaobaoUED有大多近乎的篇章,这里不赘述。

加密套件选拔

加密套件(CipherSuite),是在 SSL 握手中供给商谈的很关键的四个参数。顾客端会在 Client Hello 中带上它所支撑的 CipherSuite 列表,服务端会从中选定三个并由此 Server Hello 重返。假诺客商端扶助的 CipherSuite 列表与服务端配置的 CipherSuite 列表未有交集,会导致无计可施做到商业事务,握手失利。

CipherSuite 包括各类技能,举例认证算法(Authentication)、加密算法(Encryption)、新闻认证码算法(Message Authentication Code,简称为 MAC)、密钥交流算法(Key Exchange)和密钥衍生算法(Key Derivation Function)。

SSL 的 CipherSuite 协商业机械制具备卓绝的扩张性,每一种 CipherSuite 都亟需在 IANA 注册,并被分配多个字节的标记。全体 CipherSuite 能够在 IANA 的 TLS Cipher Suite Registry 页面查看。

OpenSSL 库帮助的整套 CipherSuite 可以由此以下命令查看:

openssl ciphers -V | column -t 0xCC,0x14 - ECDHE-ECDSA-CHACHA20-POLY1305 TLSv1.2 Kx=ECDH Au=ECDSA Enc=ChaCha20-Poly1305 Mac=AEAD ... ...

1
2
3
openssl ciphers -V | column -t
0xCC,0x14  -  ECDHE-ECDSA-CHACHA20-POLY1305  TLSv1.2  Kx=ECDH        Au=ECDSA   Enc=ChaCha20-Poly1305  Mac=AEAD
... ...

0xCC,0x14 是 CipherSuite 的数码,在 SSL 握手中会用到。ECDHE-ECDSA-CHACHA20-POLY1305 是它的称谓,之后几部分各自表示:用于 TLSv1.2,使用 ECDH 做密钥调换,使用 ECDSA 做验证,使用 ChaCha20-Poly1305 做对称加密,由于 ChaCha20-Poly1305 是一种 AEAD 情势,无需 MAC 算法,所以 MAC 列显示为 AEAD。

要询问 CipherSuite 的越多内容,能够翻阅那篇长文《TLS 合计分析 与 当代加密通讯协议设计》。不问可见,在布局 CipherSuite 时,请必得参照他事他说加以考察权威文档,如:Mozilla 的推荐配置、CloudFlare 使用的布署。

以上 Mozilla 文书档案中的「Old backward compatibility」配置,以及 CloudFlare 的配备,都得以很好的合营老旧浏览器,包蕴 Windows XP / IE6。

在此以前看来有些大厂商以至辅助包蕴 EXPORT 的 CipherSuite,这一个套件在上世纪由于U.S.A.讲话限制而被削弱过,已被夺回,实在未有理由再利用。

移动端

二、宗旨难点

上边建议了在事情中看出的科学普及的两种方式,难点的主导正是多少交到哪个人去管理。数据交由后台管理,那是格局一,数据提交前端管理,那是形式二,数据交到前端分层管理,那是情势三。三种情势尚未高低之分,其利用依旧得看具体情形。

既是都以数量的标题,数据从哪个地方来?那么些难点又回来了接口。

  • 接口文书档案由何人来撰写和维护?
  • 接口新闻的更动怎样向前后端传递?
  • 怎么依据接口规范得到前后端可用的测量试验数据?
  • 行使哪个种类接口?JSON,JSONP?
  • JSONP 的安全性难点怎么管理?

这一多级的标题直接苦恼着奋战在前沿的前端工程师和后端开拓者。天猫商城团队做了两套接口文书档案的爱戴工具,IMS以及DIP,不驾驭有未有对外开放,五个东西都以基于 JSON Schema 的一个品尝,各有上下。JSON Schema 是对 JSON 的二个正式,类似大家在数据库中创制表同样,对种种字段做一些范围,这里也是一致的原理,可以对字段进行描述,设置类型,限制字段属性等。

接口文书档案那几个业务,使用 JSON Schema 能够自动化生产,所以只需编写 JSON Schema 而子虚乌有保险难点,在写好的 Schema 中多加些限制性的参数,大家就能够直接依据 Schema 生成 mock(测量试验) 数据。

mock 数据的外界调用,那倒是很好管理:

JavaScript

typeof callback === "function" && callback({ json: "jsonContent" })

1
2
3
typeof callback === "function" && callback({
   json: "jsonContent"
})

在呼吁的参数中插手 callback 参数,如 /mock/hashString?cb=callback,一般的 io(ajax) 库都对异步数据获得做了打包,我们在测验的时候利用 jsonp,回头上线,将 dataType 改成 json 就行了。

JavaScript

IO({ url: "", dataType: "jsonp", //json success: function(){} })

1
2
3
4
5
IO({
  url: "http://barretlee.com",
  dataType: "jsonp", //json
  success: function(){}
})

这里略微麻烦的是 POST 方法,jsonp 只好利用 get 格局插入 script 节点去央求数据,然而 POST,只好呵呵了。

此处的拍卖也可以有多种格局得以参照:

  • 修改 Hosts,让 mock 的域名指向开垦域名
  • mock 设置 header 响应头,Access-Allow-Origin-Control

对于如何得到跨域的接口音信,笔者也交由多少个参考方案:

  • fiddler 替换包,好像是永葆正则的,感兴趣的能够研商下(求分享研讨结果,因为自个儿没找到正则的装置职分)
  • 运用 HTTPX 可能别的代理工科具,原理和 fiddler 类似,可是可视化效果(体验)要好广大,毕竟人家是特意做代理用的。
  • 友善写一段脚本代理,也正是地方开一个代理服务器,这里供给驰念端口的攻克难题。其实本身不推荐监听端口,二个比较不利的方案是本土央求全体针对三个本子文件,然后脚本转载UHighlanderL,如:

JavaScript

原来央求: 在ajax诉求的时候: $.ajax({ url: "" });

1
2
3
4
5
原始请求:http://barretlee.com/api/test.json
在ajax请求的时候:
$.ajax({
  url: "http://<local>/api.php?path=/api/text.json"
});
  • php中管理就比较轻易啦:

JavaScript

if(!isset($_GET["page"])){ echo 0; exit(); } echo file_get_contents($_GET["path"]);

1
2
3
4
5
if(!isset($_GET["page"])){
  echo 0;
  exit();
}
echo file_get_contents($_GET["path"]);
  • Ctrl S,保存把线上的接口数据到地面包车型客车api文件夹吧-_-||

SNI 扩展

我们通晓,在 Nginx 中得以透过点名分歧的 server_name 来配置多少个站点。HTTP/1.1 公约诉求头中的 Host 字段能够标志出脚下呼吁属于哪个站点。但是对于 HTTPS 网址来讲,要想发送 HTTP 数据,必得等待 SSL 握手实现,而在握手阶段服务端就非得提供网址证书。对于在同多个 IP 陈设不一致HTTPS 站点,况兼还使用了分化证书的情状下,服务端怎么精通该发送哪个证书?

Server Name Indication,简称为 SNI,是 TLS 的一个恢宏,为消除那么些标题应时而生。有了 SNI,服务端能够经过 Client Hello 中的 SNI 扩充获得客商要拜会网址的 Server Name,进而发送与之相称的证书,顺遂完毕 SSL 握手。

Nginx 在很早在此以前就援助了 SNI,能够透过 nginx -V 来验证。以下是自个儿的表达结果:

./nginx -V nginx version: nginx/1.9.9 built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04) built with OpenSSL 1.0.2e-dev xx XXX xxxx TLS SNI support enabled configure arguments: --with-openssl=../openssl --with-http_ssl_module --with-http_v2_module

1
2
3
4
5
6
./nginx -V
nginx version: nginx/1.9.9
built by gcc 4.8.4 (Ubuntu 4.8.4-2ubuntu1~14.04)
built with OpenSSL 1.0.2e-dev xx XXX xxxx
TLS SNI support enabled
configure arguments: --with-openssl=../openssl --with-http_ssl_module --with-http_v2_module

但是,实际不是兼具浏览器都援救 SNI,以下是广泛浏览器协理 SNI 的最低版本:

浏览器 最低版本
Chrome Vista 全支持;XP 需要 Chrome 6 ;OSX 10.5.7 且 Chrome 5
Firefox 2.0
Internet Explorer 7 (需要 Vista )
Safari 3 (需要 OS X 10.5.6 )
Mobile Safari iOS 4.0
Android Webview 3.0

尽管要制止在不帮助 SNI 的浏览器中冒出证书错误,只可以将运用分化证书的 HTTPS 站点布局在差别 IP 上,最轻松易行的做法是分别陈设到分歧机器上。

IOS

早期务要求有顾客手势(user gesture)video标签才干够播放; 从版本10起头修改了video的平整,苹果放宽了inline和autoplay,计策如下(仅适用于Safari浏览器):

  • <video> elements will be allowed to autoplay without a user gesture if their source media contains no audio tracks.(无音频源的 video 成分 允许自动播放)
  • <video muted> elements will also be allowed to autoplay without a user gesture.(禁音的 video 成分允许自动播放)
  • If a <video> element gains an audio track or becomes un-muted without a user gesture, playback will pause.(假诺 video 元素在尚未客户手势下有了音频源也许变成非禁音,会半涂而废播放)
  • <video autoplay> elements will only begin playing when visible on-screen such as when they are scrolled into the viewport, made visible through CSS, and inserted into the DOM.(video 成分荧屏可知才起始广播)
  • <video autoplay> elements will pause if they become non-visible, such as by being scrolled out of the viewport.(video成分不可知后停播)

三、小结

正文只是对左右端同盟存在的难点和水保的两种常见形式做了回顾的罗列,JSON Schema 具体什么去选择,还应该有接口的保险难题、接口音信的拿走难题远非切实可行演讲,这些三翻五次临时间会整理下自家对他的通晓。

赞 2 收藏 1 评论

小鱼儿主页高手论坛 8

评释选择

HTTPS 网址须要通过 CA 取得合法证件,证书通过数字具名技巧有限帮助第三方不能够伪造。证书的简短原理如下:

  • 依据版本号、类别号、签字算法标志、发行者名称、保藏期、证书主体名、证书主体公钥音讯、发行商独一标志、主体独一标志、增添生成 TBSCertificate(To Be Signed Certificate, 待具名证书)新闻;
  • 签发数字具名:使用 HASH 函数对 TBSCertificate 总结获得新闻摘要,用 CA 的私钥对新闻摘要进行加密,获得签字;
  • 校验数字签名:使用一样的 HASH 函数对 TBSCertificate 计算获得消息摘要,与行使 CA 公钥解密签字得到内容相比较;

利用 SHA-1 做为 HASH 函数的证书被称作 SHA-1 证书,由于当下已经找到 SHA-1 的撞击规范,将证件换来选用更安全的 SHA-2 做为 HASH 函数的 SHA-2 证书被提上日程。

实则,微软曾经宣示自 2017 年 1 月 1 日起,将健全结束对 SHA-1 证书的支撑。届时在风靡版本的 Windows 系统中,SHA-1 证书将不被信任。

而基于 Chrome 官方博客的文章,使用 SHA-1 证书且证书保藏期在 二零一六 年 1 月 1 号至 二〇一五 年 12 月 31 号之间的站点会被赋予「安全的,但存在漏洞」的唤醒,也正是地址栏的小锁不再是鼠灰的,何况会有一个艳情小三角。而利用 SHA-1 证书且证书保质期抢先 2017 年 1 月 1 号的站点会被赋予「不安全」的新民主主义革命警戒,小锁上一贯浮现七个革命的叉。

但是,并非怀有的顶峰都支持 SHA-2 证书,服务端不协助万幸办,浏览器只可以借助于客商晋级了。上边是广泛浏览器辅助SHA-2 证书的最低版本:

浏览器 支持 SHA-2 证书的最低版本
Chrome 26
Firefox 1.5
Internet Explorer 6 (需要 XP SP3 )
Safari 3 (需要 OS X 10.5 )
Android Webview 2.3

能够看来,假若要照望未有打 XP SP3 补丁的 IE6 顾客,只好继续选取 SHA-1 证书。

在本身事先的文章中,还波及过 ECC 证书,这种新颖的注脚接济度更差,这里略过不提,风乐趣的同桌能够点这里查看。

是不是足以本着分裂浏览器启用差别证书吗?理论上服务端可以依靠客商端 Client Hello 中的 Cipher Suites 特征以及是还是不是支持 SNI 的表征来分配差别证书,可是笔者从没实际验证过。

本文先写那样多,相当多宗旨都亟待依附自个儿网址的顾客来调节,比如我的博客基本未有IE8- 顾客,理当如此能够禁止使用SSLv3。假若你的成品还应该有相当的多施用老旧浏览器的客商,那就亟须为那一个顾客做合作方案了。一种方案是:只把主域安全品级配低,将 XP 上 IE 客商的 HTTPS 乞请直接重定向到 HTTP 版本,那样任何域名能够动用高安全等级的陈设,运营起来比比较低价。

1 赞 1 收藏 评论

小鱼儿主页高手论坛 9

安卓

__早期__一样需求顾客手势才方可播放; 安卓的 chrome 53 后放宽了自动播放攻略,战术差别于IOS的Safari,要求同一时间对 video 设置 autoplay 和 muted(是不是禁音),才同意自动播放; __安卓的 FireFox 和 UC 浏览器__支撑任何动静下的自动播放; 安卓的其余浏览器临时不亮堂情形;

PC端

早期是__帮助自动播放,但__近来 Safari、Chrome 断断续续修改了自动播放的国策……

Safari 浏览器

__Safari 10 后__带音频的录制和拍子暗中认可禁止自动播放,越来越多音讯方可参见那篇作品;

Chrome(旧版本) 下自动播放:

小鱼儿主页高手论坛 10

Safari (10后)不自动播放:

小鱼儿主页高手论坛 11

本文由小鱼儿玄机30码发布于小鱼儿主页高手论坛,转载请注明出处:无数市肆都在品尝用工程化的不二诀窍去提高前

关键词: 小鱼儿玄机30码