diff --git a/public/_includes/_main-nav.jade b/public/_includes/_main-nav.jade index f759f00097..a586f5e427 100644 --- a/public/_includes/_main-nav.jade +++ b/public/_includes/_main-nav.jade @@ -13,7 +13,7 @@ md-toolbar(class="main-nav background-regal l-pinned-top l-layer-5",scroll-y-off li.l-left 开发者会议 li.l-left 新闻 li.l-left 关于中文版 - li.l-left 官网 + li.l-left 英文版 li.l-right 立即开始! li.l-right a.main-nav-button.md-button(ng-click="appCtrl.toggleSource($event)", href) diff --git a/public/docs/ts/latest/guide/security.jade b/public/docs/ts/latest/guide/security.jade index 285b772e97..edd15655c8 100644 --- a/public/docs/ts/latest/guide/security.jade +++ b/public/docs/ts/latest/guide/security.jade @@ -6,13 +6,12 @@ block includes Scripting Attacks. It does not cover application level security, such as authentication (_Who is this user?_) or authorization (_What can this user do?_). - Web应用程序的安全有很多方面。针对常见的漏洞和攻击,比如跨站脚本攻击,Angular提供了一些内建保护措施。本文将讨论这些内建保护措施。 - 但是本文不会覆盖应用程序级别的安全,比如用户认证(_这个用户是谁?_)和授权(_这个用户能做什么?_) + Web应用程序的安全涉及到很多方面。针对常见的漏洞和攻击,比如跨站脚本攻击,Angular提供了一些内建的保护措施。本章将讨论这些内建保护措施,但不会涉及应用级安全,比如用户认证(_这个用户是谁?_)和授权(_这个用户能做什么?_)。 The [Open Web Application Security Project (OWASP)](https://www.owasp.org/index.php/Category:OWASP_Guide_Project) has further information on the attacks and mitigations described below. - [开放式Web应用程序安全项目(OWASP)](https://www.owasp.org/index.php/Category:OWASP_Guide_Project)有更多下面描述的关于攻击和防攻击的信息。 + [开放式Web应用程序安全项目(OWASP)](https://www.owasp.org/index.php/Category:OWASP_Guide_Project)有关于攻防的更多信息。 .l-main-section :marked @@ -21,7 +20,7 @@ block includes * [Reporting Vulnerabilities](#report-issues) - * [漏洞报告](#report-issues) + * [漏洞举报](#report-issues) * [Best Practices](#best-practices) @@ -29,7 +28,7 @@ block includes * [Preventing Cross-Site Scripting (XSS)](#xss) - * [防止跨站脚本(XSS)](#xss) + * [防范跨站脚本(XSS)攻击](#xss) * [Trusting Safe Values](#bypass-security-apis) @@ -37,30 +36,31 @@ block includes * [HTTP-level Vulnerabilities](#http) - * [HTTP级别漏洞](#http) + * [HTTP级别的漏洞](#http) * [Auditing Angular Applications](#code-review) * [审计Angular应用程序](#code-review) p Try the #[+liveExampleLink2()] of the code shown in this chapter. + p 运行#[+liveExampleLink2('在线例子')] .l-main-section h2#report-issues Reporting Vulnerabilities -h2#report-issues 漏洞报告 +h2#report-issues 漏洞举报 :marked Email us at [security@angular.io](mailto:security@angular.io) to report vulnerabilities in Angular itself. - 电邮我们:[security@angular.io](mailto:security@angular.io),报告Angular内在的漏洞。 + 给我们[security@angular.io](mailto:security@angular.io)发邮件,报告Angular本身的漏洞。 For further details on how Google handles security issues please refer to [Google's security philosophy](https://www.google.com/about/appsecurity/). - 参见[谷歌安全哲学](https://www.google.com/about/appsecurity/)获取更多关于谷歌如何处理安全问题的信息。 + 请到[谷歌安全哲学](https://www.google.com/about/appsecurity/)了解关于“谷歌如何处理安全问题”的更多信息。 .l-main-section h2#best-practices Best Practices @@ -73,8 +73,8 @@ h2#best-practices 最佳实践 previous version. Check the Angular [change log](https://github.com/angular/angular/blob/master/CHANGELOG.md) for security-related updates. - * **及时更新Angular包到最新版本。** - 我们频繁的更新Angular包,这些更新可能会修复之前版本中发现的安全漏洞。查看Angular的[更新记录](https://github.com/angular/angular/blob/master/CHANGELOG.md),获取安全更新详情。 + * **及时把Angular包更新到最新版本。** + 我们会频繁的更新Angular库,这些更新可能会修复之前版本中发现的安全漏洞。查看Angular的[更新记录](https://github.com/angular/angular/blob/master/CHANGELOG.md),了解与安全有关的更新。 * **Don't modify your copy of Angular.** Private, customized versions of Angular tend to fall behind the current version and may neglect @@ -82,23 +82,23 @@ h2#best-practices 最佳实践 community and make a pull request. * **不要修改你的Angular副本** - 私有的,制定版本的Angular往往跟不上最新版本,可能会忽略重要的安全补丁和安全增强。取而代之,在社区共享你对Angular的改进并创建Pull Request。 + 私有的、定制版的Angular往往跟不上最新版本,这可能导致你忽略重要的安全修复与增强。反之,应该在社区共享你对Angular所做的改进并创建Pull Request。 * **Avoid Angular APIs marked in the documentation as “[_Security Risk_](#bypass-security-apis)”.** - * **避免使用在文档中标记为“[_安全风险_](#bypass-security-apis)”的Angular API。** + * **避免使用在本文档中被标记为“[_安全风险_](#bypass-security-apis)”的Angular API。** .l-main-section h2#xss Preventing Cross-Site Scripting (XSS) -h2#xss 防止跨站脚本(XSS) +h2#xss 防范跨站脚本(XSS)攻击 :marked [Cross-Site Scripting (XSS)](https://en.wikipedia.org/wiki/Cross-site_scripting) enables attackers to inject malicious code into web pages. Such code can then for example steal user's data (in particular their login data), or perform actions impersonating the user. This is one of the most common attacks on the web. - [跨站脚本(XSS)](https://en.wikipedia.org/wiki/Cross-site_scripting)允许攻击者将恶意代码注入到网页上。这样的代码可以偷取用户数据 - (特别是他们的登陆数据),也冒充用户执行操作。它是在Web上最常见的攻击方式之一。 + [跨站脚本(XSS)](https://en.wikipedia.org/wiki/Cross-site_scripting)允许攻击者将恶意代码注入到页面中。这些代码可以偷取用户数据 + (特别是他们的登陆数据),还可以冒充用户执行操作。它是Web上最常见的攻击方式之一。 To block XSS attacks, we must prevent malicious code from entering the DOM. For example, if an attacker can trick us into inserting a `