喵喵喵不吃小鱼干
喵喵喵不吃小鱼干

XSS攻击

XSS,即cross-site-scripting,跨站脚本攻击。

        跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。当用户访问包含攻击脚本的特定网页,就会产生XSS。

        XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。


XSS攻击主要分为三种:反射型XSS,存储型XSS,DOM-XSS等。

主要涉及三方:攻击者,用户,web server等。

常见六大web安全攻防解析

一.危害

挂马

盗取用户Cookie。

DOS(拒绝服务)客户端浏览器。

钓鱼攻击,高级的钓鱼技巧。

删除目标文章、恶意篡改数据、嫁祸。

劫持用户Web行为,甚至进一步渗透内网。

爆发Web2.0蠕虫。

蠕虫式的DDoS攻击。

蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据。

其它安全问题

二.分类

1.反射型(reflected)(非持久型XSS)

反射型XSS又称非持久性跨站点脚本攻击,它是最常见的XSS攻击类型。

发出请求后,服务器端对请求进行解析后响应,并返回包含有XSS脚本的响应,浏览器对其进行解析并执行。

当一个网页获取url中的参数展示在页面上,并且没有对获取到的数据进行转义或者进行的转义有漏洞,那么就会存在被攻击的风险。

攻击脚本并没有存入网站数据库,而是隐藏在链接中,通过链接传播。只要用户点击了链接就很可能会被盗取信息。

特征:

(1)即时性,不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击,拿到用户隐私数据。

(2) 攻击者需要诱骗点击,必须要通过用户点击链接才能发起。

(3) 反馈率低,所以较难发现和响应修复。

(4) 盗取用户敏感保密信息 。

为了防止出现非持久型XSS,需要确保以下事情:

(1)Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。

(2)尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。

(3)尽量不要使用eval, newFunction(),document.write(),document.writeln(),

window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 

等可执行字符串的方法。

(4)如果做不到以上几点,也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转  义。前端渲染的时候对任何的字段都需要做 escape 转义编码。

 

XSS攻击_第1张图片
反射型

2.存储型(stored)(持久型XSS)

一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。

持久的XSS相比非持久XSS攻击危害更大,因为每当用打开页面,查看内容时脚本将自动执行。谷歌的orkut曾经就遭受到XSS攻击。

存储型XSS与反射型XSS的差别在于,存储型XSS将攻击脚本存储在数据库中,不需要诱骗点击,黑客只需要在提交表单的地方完成注入即可,但是这种 XSS 攻击的成本相对还是很高。

最典型的例子是留言板XSS,用户提交一条包含XSS代码的留言存储到数据库,目标用户查看留言板时,那些留言的内容会从数据库查询出来并显示,浏览器发现有XSS代码,就当做正常的HTML与Js解析执行,于是触发了XSS攻击。

攻击脚本存储在网站数据库,所以在链接上看不出来一点异样,更加隐蔽,破坏性更大。

攻击成功需要同时满足以下条件:

(1)POST 请求提交表单后端没做转义直接入库。

(2)后端从数据库中取出数据没做转义直接输出给前端。

(3)前端拿到后端数据没做转义直接渲染成 DOM。

特点:

(1)持久性,植入在数据库中

(2)盗取用户敏感私密信息

(3)危害面广

防御措施

1.CSP

CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP:

(1)设置 HTTP Header 中的 Content-Security-Policy

(2)设置 meta 标签的方式

2.对用户输入进行转义

“永远不要相信用户的输入”



XSS攻击_第2张图片
存储型

3.DOM XSS

DOM XSS与另外两种的区别主要是:DOM XSS的代码并不需要服务器参与,触发XSS取决于浏览器端的DOM解析,完全是客户端的事情。



三.常见代码

常用的JavaScript方法

    alert                    用于显示带有一条指定消息和一个确认按钮的警告框。

    window.location  用于获得当前页面地址的地址,并把浏览器重定向到新的页面。

    onload                一张页面或一幅图像完成加载。

    onsubmit            确认按钮被点击。

    onerror              在加载文档或图像时发生错误。

常见代码

1'"()&%

'>

='>

%3Cscript%3Ealert('XSS')%3C/script%3E

%0a%0a.jsp

%22%3cscript%3ealert(%22xss%22)%3c/script%3e

%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini

%3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e

%3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e

%3cscript%3ealert(%22xss%22)%3c/script%3e/index.html

a.jsp/

a?

">

';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&

%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

%3Cscript%3Ealert(document. domain);%3C/script%3E&

%3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=

"";' > out


getURL("javascript:alert('XSS')")

a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);

"> <"

PT src="http://xss.ha.ckers.org/a.js">

link

'XSS')>

<


四.总结

产生的原因:无充分过滤,产生不合法的参数或输入内容,比如URL中没有进行转义或者转义存在漏洞,都会产生XSS攻击的风险。

防御:

“永远不要相信用户的输入”

具体转义的对象就是一些 / ” < > 之类的特殊字符,防止形成可执行脚本。

对输入与URL过滤

对输出编码

你可能感兴趣的:(XSS攻击)

  • 2025年SDK游戏盾终极解析:重新定义手游安全的“隐形护甲” 上海云盾商务经理杨杨 游戏安全
    副标题:从客户端加密到AI反外挂,拆解全链路防护如何重塑游戏攻防天平引言:当传统高防在手游战场“失效”2025年全球手游市场规模突破$2000亿,黑客单次攻击成本却降至$30——某SLG游戏因协议层CC攻击单日流失37%玩家,某开放世界游戏遭低频DDoS瘫痪6小时损失千万。传统高防IP的致命短板暴露无遗:无法识别伪造客户端流量、难防协议篡改、误杀率超15%。而集成于游戏终端的SDK游戏盾,正以“源
  • 严重的DDoS 攻击澳大利亚主要宽带提供商 Fancy1816575412
    本周早些时候,澳大利亚最大的固定无线宽带运营商CirrusCommunications遭受了一次重大的DDoS攻击,导致其一半以上的网络瘫痪。该公司在其网站上声称:“强大的架构、数百个传输站点以及光纤和微波回程的使用使其能够以非常高的正常运行时间提供高速”。CirrusCommunications表示,它覆盖了澳大利亚十大人口中心以及几个主要的区域中心,主要为企业和政府客户提供服务。然而,据The
  • 你的连接不是专用连接攻击者可能试图从 github.com 窃取你的信息(例如,密码、消息或信用卡)。 --解决办法
    我遇到了.检查安全软件或企业防火墙/代理(包括VPN)这个问题,关了就好,我是用来xbox加速github,所以先开在关既可以加速又可以访问这个错误表明你的浏览器(MicrosoftEdge)无法安全地连接到GitHub,因为遇到了证书验证问题(NET::ERR_CERT_AUTHORITY_INVALID)。错误信息明确指出网站使用了HSTS(HTTPStrictTransportSecurit
  • SQL笔记纯干货 AI入门修炼 oracle数据库sql
    软件:DataGrip2023.2.3,phpstudy_pro,MySQL8.0.12目录1.DDL语句(数据定义语句)1.1数据库操作语言1.2数据表操作语言2.DML语句(数据操作语言)2.1增删改2.2题2.3备份表3.DQL语句(数据查询语言)3.1查询操作3.2题一3.3题二4.多表详解4.1一对多4.2多对多5.多表查询6.窗口函数7.拓展:upsert8.sql注入攻击演示9.拆表
  • “解读《文化自信和民族复兴》”(75)“七个家庭幸福的着力点"之“自以为是和高己卑人” 周安柱
    家庭幸福要突破的一个重要元素:“近则卑”。按道理,越来越熟悉,带着爱的眼光会看到对方身上更多的闪光点才对,但如果不小心活出了小我的状态,却很容易“故意找茬”,结果出现“近之则不逊而远之则怨”的错误模式!两个太熟悉的人在一起,如果要攻击对方的“不是”,那太容易了。如果不注意分寸,肆无忌惮的“互相伤害揭伤疤”,那就好比两个紧紧的长期抱在一起的刺猬,彼此都会伤痕累累。其实,自己做得事、说的话以及自己的认
  • Spring Security OAuth2.0在分布式系统中的安全实践
    引言分布式系统架构下,安全认证与授权面临跨服务、高并发、多租户等挑战。SpringSecurity与OAuth2.0的结合为微服务安全提供了标准化解决方案。分布式系统中的安全挑战跨服务身份认证的复杂性令牌管理的可扩展性问题多租户场景下的权限隔离需求防止CSRF、XSS等常见攻击SpringSecurityOAuth2.0核心架构授权服务器设计@EnableAuthorizationServer配置
  • linux实战--日志管理
    简介日志文件重要的信息系统文件,及了许多重要的系统事件,包括用户的登录信息,系统的启动信息,系统的安全信息,邮寄相关信息,各种服务相关的信息。日志对安全也很重要。每天记录系统发生的各种事情,通过日志检查错误发生的原因或受到攻击时攻击者留下的痕迹。总的来说,日志是记录重大事件的文件。处理日志的工具rsyslog系统日志管理专职管理日志的工具,它产生各种信息文件,主要存放在/var/loglogrot
  • ubuntu的redis反弹shell总结 chanra 萌新随笔ubunturedislinux
    ubuntu的redis反弹shell总结ubuntu要执行有三点:1、ubuntu的默认执行命令的为/bin/dash,我们使用bash-i肯定是弹不了的。2、ubuntu计划任务运行有语法要求,redis写入的文件存在缓存数据,导致语法错误无法运行计划任务。3、文件需要是600rw权限,权限不对也不能运行,不过我直接写入貌似就是600rw。参考链接:http://www.vkxss.top/2
  • 我和拳头俯卧撑的爱恨情仇! 曹智明
    拳头俯卧撑,说实话,不是一个怎么好玩的东东。但卖家内参创始人李大庆总裁,他在我们卖家内参的圈子里,却一直呼吁和建议我们男士总裁,去练习拳头俯卧撑。他说,只要你坚持一年,你出拳就能让对方瞬间失去攻击能力,一年后它会成为你最好的自卫防身武器。他这个人,虽然从来没有面对面见过,仅在线上用微信、企业微信、微脉圈,跟他接触了3年有余。但哪怕仅通过线上,完全可以断定,他是个一诺千金、沉稳扎实,拥有大智慧和靠谱
  • 网络安全架构与网络拓扑的深度解析 火箭统 网络安全攻击面减少网络架构网络拓扑数据包转发
    背景简介网络安全是当前信息时代的核心挑战之一,随着网络技术的快速发展,攻击手段也日益多样化。本篇博客文章基于提供的书籍章节内容,深入分析网络安全中的攻击面减少策略、网络架构的设计与管理,以及不同网络拓扑的特点,旨在为读者提供一个全面的网络安全知识框架。攻击面减少攻击面是指一个系统或软件暴露给潜在攻击者的全部潜在入口点。减少攻击面是提高网络安全的有效手段之一。通过减少运行的代码量、限制未受信任用户的
  • 从互相指责到深度对话:重建亲密关系的伦理与艺术 北京百思可瑞教育 北京百思可瑞教育北京百思可瑞教育咨询有限公司百思可瑞教育心理咨询师北京百思可瑞教育北京百思可瑞教育咨询有限公司百思可瑞教育
    从互相指责到深度对话:重建亲密关系的伦理与艺术“你从来不考虑我的感受!”“你总是这样自私!”当亲密关系陷入互相指责的漩涡,这样的对话模式像一把双刃剑,在刺伤对方的同时也割裂着彼此的情感联结。指责的背后,往往藏着未被听见的呼喊与未被满足的需求——那些渴望被理解、被珍视的灵魂诉求。指责的根源常是表达受挫的产物。当一方感到自己的需求被忽视或情感被伤害时,本能地选择攻击对方的人格而非描述自己的感受。一句“
  • SQL注入:原理、类型与防范策略 数据冰山
    本文还有配套的精品资源,点击获取简介:SQL注入是一种网络攻击手段,通过不当构建的SQL查询允许攻击者插入恶意代码,从而控制数据库。这种攻击可能导致数据泄露、篡改或系统控制。介绍了SQL注入的类型,包括错误信息注入、时间基注入、盲注和堆叠查询。提供了防范SQL注入的方法,包括使用参数化查询、输入验证、转义特殊字符等策略,并建议限制数据库权限和错误处理。教程资源可能包含在"SQL注入整理"压缩包中,
  • 掌握SQL注入:漏洞演示与防护策略实战源代码 May Wei
    本文还有配套的精品资源,点击获取简介:SQL注入是一个影响Web应用和数据库安全的漏洞。通过本项目源代码演示,开发者能深入理解SQL注入的工作机制及其攻击方法。文档和源代码示例将指导如何通过构造恶意SQL语句执行非授权数据库操作,以及如何通过实践学习防止此类攻击,包括安全编码、输入验证、错误处理、数据库权限设置和日志监控等。1.SQL注入概念和攻击方法1.1SQL注入漏洞的基本原理1.1.1SQL
  • SQL 注入攻击全面解析:分类、典型案例与防御实践 阿贾克斯的黎明 网络安全数据库oracle
    目录SQL注入攻击全面解析:分类、典型案例与防御实践一、SQL注入基础概念1.1什么是SQL注入(SQLInjection)二、SQL注入攻击分类与典型案例2.1基于注入位置的分类2.1.1数字型注入2.1.2字符串型注入2.2基于回显结果的分类2.2.1显式回显注入(Union-BasedInjection)2.2.2盲注(BlindSQLInjection)2.3基于攻击手法的分类2.3.1堆
  • 无形中的数据泄漏
    勒索软件和外部黑客继续充当2018数据泄露事件头号原因全世界超过1/4的数据泄露都起源于公司“内部人员”的电脑台位,而且还不仅仅是单纯误点了可疑链接那么简单。不过,管理员们对这样的情况应该已经习以为常了。威瑞森最近的一份《数据泄露调查报告》(DBIR)显示,全年25%的攻击都是内部人所致,主要是求财、找情报,或者就是一时疏忽或误操作了。报告还称,约50%的数据泄露是犯罪团伙所为,而1/10的数
  • 我的紧张从何而来? 岩妹妹妹
    看下面这段对话当我的血液开始加速,闭上双眼,我感受到的是羞耻、颤抖,我仿佛置身于童年,被骂、被冷暴力,不断的自我攻击,用父母的语气进行无休止的自我折磨,自我攻击,我置身于舞台中间,仿佛置身于全是由父母组成的各个面孔,他们用凶狠决绝的眼神死死盯着我,即使我已经蜷缩再蜷缩,也于事无补,就是她,战战兢兢的我!~~~~~~~~~~~~~~~~~~~~今天我选择放空这枷锁,我在35岁的时候,选择我的一身筋骨
  • 排查解决腾讯云服务器存在对外攻击行为,已阻断该服务器对其他服务器端口(TCP:6379)的访问
    【腾讯云】服务违规封禁提醒解决方法来自腾讯客服https://cloud.tencent.com/document/product/296/9604,这是我们给您的建议,建议您排查下您的服务器情况您现在登录上您的服务器了嘛您执行下crontab-l给我看下在执行netstat-ano|egrep"tcp|udp"redis端口这里有问题您执行netstat-tupln给我看下<
  • 运维-资产梳理
    资产梳理一、明确目标与范围1.1、确定梳理目的网络安全:缩小攻击面、识别风险点。资源配置:优化资源利用率、降低成本。合规要求:满足法律法规或行业标准(如等保、ISO27001)。1.2、界定资产范围物理资产:服务器、网络设备、终端设备、IoT设备等。数字资产:操作系统、数据库、应用程序、域名、IP地址、云资源、容器/K8s集群、SaaS应用。数据资产:敏感数据(如客户信息、财务数据)、业务数据、备
  • 【网络安全】DDOS攻击 第十六年盛夏. 网安web安全ddos安全
    如果文章不足还请各位师傅批评指正!你有没有过这种经历:双11抢券时页面卡成幻灯片,游戏团战突然全员掉线,刷视频时进度条永远转圈圈?除了“网渣”,可能还有个更糟的原因——你正被DDoS攻击“堵门”了!今天用3分钟讲透:什么是DDoS?它和其他攻击有啥区别?怎么发现?怎么防?先看个“生活化栗子”:什么是DDoS攻击?想象你常去的奶茶店,平时10个顾客能轻松接待。突然某天,来了1000个“假顾客”——他
  • 零信任架构落地:Java + SPIFFE 微服务身份联邦体系 司铭鸿 架构java微服务机器学习线性代数开发语言算法
    “信任是最昂贵的漏洞。”——2017年Equifax数据泄露后安全专家总结开篇:当城堡护城河干涸时2019年,某跨国金融集团遭遇“服务间信任链断裂”攻击。攻击者利用Kubernetes服务账户令牌泄露,伪装成合法服务横向渗透,窃取核心交易数据。其传统边界防火墙与VPN如同中世纪的护城河,对内部流量毫无防御能力。这场灾难性事件点燃了他们落地零信任架构(ZeroTrustArchitecture,ZT
  • DTCO丨环形振荡器(RO)设计与性能优化:从原理到工程落地
    在集成电路设计中,环形振荡器(RingOscillator,RO)作为时钟信号生成、芯片验证及物理攻击防护的核心模块,其性能直接决定系统的稳定性、功耗与可靠性。本文将从结构原理、核心参数推导、设计流程到工程实战考量,系统解析RO设计的关键逻辑与落地方法。一、RO系统架构与核心模块解析环形振荡器的核心功能是通过多级反相器的正反馈产生周期性振荡信号,其系统架构需匹配输入输出需求,同时平衡信号完整性与负
  • 揭秘LummaStealer恶意软件:虚假验证码如何攻陷预订网站 weishi122 恶意软件网络安全钓鱼攻击社会工程学aws安全云计算
    预订威胁:LummaStealer虚假验证码攻击内幕攻击概述2025年1月,GDATA分析师发现针对预订网站的复杂攻击活动。攻击者通过伪造的CAPTCHA验证页面分发LummaStealer恶意样本。这款自2022年出现的窃密软件采用MaaS(恶意软件即服务)模式运营。最初攻击目标为菲律宾巴拉望岛的旅行预订,一周后更新为德国慕尼黑的酒店预订,显示出攻击者的全球化攻击趋势。与以往通过GitHub或T
  • 网站渗透测试完全手册:零基础到进阶,系统学习网络安全攻防
    渗透测试介绍渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!渗透测试意义信息安全评估的重要方法,有利于掌握系统整体安全强度。模拟黑客攻击和思维,评估计算机潜在风险。发
  • 第14章-收容 刀背之血
    目前,离我们最近的两个驻生物太空站,叫“奇祖号空间站”和“天宫3”,另外根据外观形状看,还有一个用于武器研究的太空站,叫“大川号”。具备比较强的攻击能力。可能对我们有威胁。但此时”大川号”正处在星球的另一面。该星球使用的通用求救信号是“SOS”。该星球共有143处外星文明遗迹,其中也有我们祖先的运载基地的指挥室建筑,被他们叫做‘金字塔’,不过已经不是原来的建筑了,而是后来被所在区域的国家统治者一代
  • 高级07-Java安全编程:保护你的应用免受攻击 Jinkxs Java高级篇安全java
    引言在当今的数字时代,应用程序的安全性已成为软件开发过程中不可忽视的重要环节。Java作为一门广泛应用于企业级应用开发的编程语言,其安全性问题尤其受到关注。无论是在Web应用、移动应用还是后端服务中,Java开发者都需要面对各种潜在的安全威胁,如SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)、身份验证漏洞等。因此,掌握Java安全编程的最佳实践,不仅能够提升应用程序的健壮性,还能有效
  • WEB安全--Java安全--jsp webshell免杀
    1.1、BCELClassLoader介绍(仅适用于BCEL6.0以下):BCEL(ApacheCommonsBCEL™)是一个用于分析、创建和操纵Java类文件的工具库;BCEL的类加载器在解析类名时会对ClassName中有BCEL标识的类做特殊处理,该特性经常被用于编写各类攻击Payload。当BCEL的loadClass加载一个类名中带有BCEL$$”的类时会截取出BCEL后面的字符串,然
  • 《主母一心求死后,父子三人疯了》&沈宁陆谦TXT一口气看完~<主母一心求死后,父子三人疯了>一看到底! 今日推文
    《主母一心求死后,父子三人疯了》&沈宁陆谦TXT一口气看完~一看到底!书名:《主母一心求死后,父子三人疯了》主角:沈宁陆谦阅读建议:↓打开微信搜索公众号-【哈哈文库】关注并回复数字:306即可快速阅读!我没想到陪着陆骏读了那么多圣贤书,最后那些道理全都是他用来攻击我的武器。“阿娘只是因为嫉妒云姨,就忍心看着云姨被敌国抓走,受尽折磨,心中根本没有家国大义,你这样怎么配当我的娘?”彼时我正端着起了个大
  • 【LeetCode 热题 100】51. N 皇后——回溯 xumistore LeetCodeleetcode算法职场和发展java
    Problem:51.N皇后按照国际象棋的规则,皇后可以攻击与之处在同一行或同一列或同一斜线上的棋子。n皇后问题研究的是如何将n个皇后放置在n×n的棋盘上,并且使皇后彼此之间不能相互攻击。给你一个整数n,返回所有不同的n皇后问题的解决方案。每一种解法包含一个不同的n皇后问题的棋子放置方案,该方案中‘Q’和‘.’分别代表了皇后和空位。文章目录整体思路完整代码时空复杂度时间复杂度:O(N!)空间复杂度
  • 宝塔开放php openssl,[教程]Centos宝塔面板升级openssl增强nginxSSL安全性,openssl开启Http/2,Centos升级openssl... weixin_39956353 宝塔开放phpopenssl
    由于本站是采用的Centos7+宝塔面板搭建的LNMP环境,但是Centos7默认的openssl版本又太低,根据“漏洞参考这里:https://www.trustasia.com/OpenSSL-CVE-2016-2107-Padding-Oracle”查看这篇文章发现openssl低版本已经有一堆漏洞了,所以就萌生了升级openssl版本的想法。配置完后如图:openssl版本低会导致无论你怎
  • 一文读懂 IP 证书:与 SSL 证书的差异及独特价值 Arwen303 tcp/ipssl网络协议
    一、核心定义与基础功能IP证书是由权威CA机构颁发的数字证书,直接绑定到公网IP地址而非域名,为通过IP直接访问的服务提供加密和身份验证。其核心功能包括:数据加密:通过SSL/TLS协议对传输数据进行对称加密(如AES),防止中间人攻击。身份验证:验证IP地址的控制权归属,确保通信双方的真实性。SSL证书(基于域名)则是为域名设计的证书,通过域名验证所有者身份,实现HTTPS加密。两者均依赖公钥加
  • HQL之投影查询 归来朝歌 HQLHibernate查询语句投影查询
            在HQL查询中,常常面临这样一个场景,对于多表查询,是要将一个表的对象查出来还是要只需要每个表中的几个字段,最后放在一起显示? 针对上面的场景,如果需要将一个对象查出来: HQL语句写“from 对象”即可 Session session = HibernateUtil.openSession();
  • Spring整合redis bylijinnan redis
    pom.xml <dependencies> <!-- Spring Data - Redis Library --> <dependency> <groupId>org.springframework.data</groupId> <artifactId>spring-data-redi
  • org.hibernate.NonUniqueResultException: query did not return a unique result: 2 0624chenhong Hibernate
    参考:http://blog.csdn.net/qingfeilee/article/details/7052736 org.hibernate.NonUniqueResultException: query did not return a unique result: 2         在项目中出现了org.hiber
  • android动画效果 不懂事的小屁孩 android动画
    前几天弄alertdialog和popupwindow的时候,用到了android的动画效果,今天专门研究了一下关于android的动画效果,列出来,方便以后使用。 Android 平台提供了两类动画。 一类是Tween动画,就是对场景里的对象不断的进行图像变化来产生动画效果(旋转、平移、放缩和渐变)。 第二类就是 Frame动画,即顺序的播放事先做好的图像,与gif图片原理类似。
  • js delete 删除机理以及它的内存泄露问题的解决方案 换个号韩国红果果 JavaScript
    delete删除属性时只是解除了属性与对象的绑定,故当属性值为一个对象时,删除时会造成内存泄露  (其实还未删除) 举例: var person={name:{firstname:'bob'}} var p=person.name delete person.name p.firstname -->'bob' // 依然可以访问p.firstname,存在内存泄露
  • Oracle将零干预分析加入网络即服务计划 蓝儿唯美 oracle
    由Oracle通信技术部门主导的演示项目并没有在本月较早前法国南斯举行的行业集团TM论坛大会中获得嘉奖。但是,Oracle通信官员解雇致力于打造一个支持零干预分配和编制功能的网络即服务(NaaS)平台,帮助企业以更灵活和更适合云的方式实现通信服务提供商(CSP)的连接产品。这个Oracle主导的项目属于TM Forum Live!活动上展示的Catalyst计划的19个项目之一。Catalyst计
  • spring学习——springmvc(二) a-john springMVC
    Spring MVC提供了非常方便的文件上传功能。 1,配置Spring支持文件上传: DispatcherServlet本身并不知道如何处理multipart的表单数据,需要一个multipart解析器把POST请求的multipart数据中抽取出来,这样DispatcherServlet就能将其传递给我们的控制器了。为了在Spring中注册multipart解析器,需要声明一个实现了Mul
  • POJ-2828-Buy Tickets aijuans ACM_POJ
    POJ-2828-Buy Tickets http://poj.org/problem?id=2828 线段树,逆序插入 #include<iostream>#include<cstdio>#include<cstring>#include<cstdlib>using namespace std;#define N 200010struct
  • Java Ant build.xml详解 asia007 build.xml
    1,什么是antant是构建工具2,什么是构建概念到处可查到,形象来说,你要把代码从某个地方拿来,编译,再拷贝到某个地方去等等操作,当然不仅与此,但是主要用来干这个3,ant的好处跨平台   --因为ant是使用java实现的,所以它跨平台使用简单--与ant的兄弟make比起来语法清晰--同样是和make相比功能强大--ant能做的事情很多,可能你用了很久,你仍然不知道它能有
  • android按钮监听器的四种技术 百合不是茶 androidxml配置监听器实现接口
    android开发中经常会用到各种各样的监听器,android监听器的写法与java又有不同的地方;    1,activity中使用内部类实现接口 ,创建内部类实例  使用add方法  与java类似   创建监听器的实例 myLis lis = new myLis();   使用add方法给按钮添加监听器  
  • 软件架构师不等同于资深程序员 bijian1013 程序员架构师架构设计
            本文的作者Armel Nene是ETAPIX Global公司的首席架构师,他居住在伦敦,他参与过的开源项目包括 Apache Lucene,,Apache Nutch, Liferay 和 Pentaho等。         如今很多的公司
  • TeamForge Wiki Syntax & CollabNet User Information Center sunjing TeamForgeHow doAttachementAnchorWiki Syntax
    the CollabNet user information center http://help.collab.net/   How do I create a new Wiki page? A CollabNet TeamForge project can have any number of Wiki pages. All Wiki pages are linked, and
  • 【Redis四】Redis数据类型 bit1129 redis
    概述 Redis是一个高性能的数据结构服务器,称之为数据结构服务器的原因是,它提供了丰富的数据类型以满足不同的应用场景,本文对Redis的数据类型以及对这些类型可能的操作进行总结。 Redis常用的数据类型包括string、set、list、hash以及sorted set.Redis本身是K/V系统,这里的数据类型指的是value的类型,而不是key的类型,key的类型只有一种即string
  • SSH2整合-附源码 白糖_ eclipsespringtomcatHibernateGoogle
    今天用eclipse终于整合出了struts2+hibernate+spring框架。 我创建的是tomcat项目,需要有tomcat插件。导入项目以后,鼠标右键选择属性,然后再找到“tomcat”项,勾选一下“Is a tomcat project”即可。具体方法见源码里的jsp图片,sql也在源码里。     补充1:项目中部分jar包不是最新版的,可能导
  • [转]开源项目代码的学习方法 braveCS 学习方法
    转自: http://blog.sina.com.cn/s/blog_693458530100lk5m.html http://www.cnblogs.com/west-link/archive/2011/06/07/2074466.html   1)阅读features。以此来搞清楚该项目有哪些特性2)思考。想想如果自己来做有这些features的项目该如何构架3)下载并安装d
  • 编程之美-子数组的最大和(二维) bylijinnan 编程之美
    package beautyOfCoding; import java.util.Arrays; import java.util.Random; public class MaxSubArraySum2 { /** * 编程之美 子数组之和的最大值(二维) */ private static final int ROW = 5; private stat
  • 读书笔记-3 chengxuyuancsdn jquery笔记resultMap配置ibatis一对多配置
    1、resultMap配置 2、ibatis一对多配置 3、jquery笔记 1、resultMap配置 当<select resultMap="topic_data"> <resultMap id="topic_data">必须一一对应。 (1)<resultMap class="tblTopic&q
  • [物理与天文]物理学新进展 comsci
          如果我们必须获得某种地球上没有的矿石,才能够进行某些能量输出装置的设计和建造,而要获得这种矿石,又必须首先进行深空探测,而要进行深空探测,又必须获得这种能量输出装置,这个矛盾的循环,会导致地球联盟在与宇宙文明建立关系的时候,陷入困境       怎么办呢?  
  • Oracle 11g新特性:Automatic Diagnostic Repository daizj oracleADR
    Oracle Database 11g的FDI(Fault Diagnosability Infrastructure)是自动化诊断方面的又一增强。 FDI的一个关键组件是自动诊断库(Automatic Diagnostic Repository-ADR)。 在oracle 11g中,alert文件的信息是以xml的文件格式存在的,另外提供了普通文本格式的alert文件。 这两份log文
  • 简单排序:选择排序 dieslrae 选择排序
    public void selectSort(int[] array){ int select; for(int i=0;i<array.length;i++){ select = i; for(int k=i+1;k<array.leng
  • C语言学习六指针的经典程序,互换两个数字 dcj3sjt126com c
    示例程序,swap_1和swap_2都是错误的,推理从1开始推到2,2没完成,推到3就完成了 # include <stdio.h> void swap_1(int, int); void swap_2(int *, int *); void swap_3(int *, int *); int main(void) { int a = 3; int b =
  • php 5.4中php-fpm 的重启、终止操作命令 dcj3sjt126com PHP
    php 5.4中php-fpm 的重启、终止操作命令: 查看php运行目录命令:which php/usr/bin/php 查看php-fpm进程数:ps aux | grep -c php-fpm 查看运行内存/usr/bin/php  -i|grep mem 重启php-fpm/etc/init.d/php-fpm restart 在phpinfo()输出内容可以看到php
  • 线程同步工具类 shuizhaosi888 同步工具类
    同步工具类包括信号量(Semaphore)、栅栏(barrier)、闭锁(CountDownLatch)   闭锁(CountDownLatch) public class RunMain { public long timeTasks(int nThreads, final Runnable task) throws InterruptedException { fin
  • bleeding edge是什么意思 haojinghua DI
    不止一次,看到很多讲技术的文章里面出现过这个词语。今天终于弄懂了——通过朋友给的浏览软件,上了wiki。  我再一次感到,没有辞典能像WiKi一样,给出这样体贴人心、一清二楚的解释了。为了表达我对WiKi的喜爱,只好在此一一中英对照,给大家上次课。   In computer science, bleeding edge is a term that
  • c中实现utf8和gbk的互转 jimmee ciconvutf8&gbk编码
    #include <iconv.h> #include <stdlib.h> #include <stdio.h> #include <unistd.h> #include <fcntl.h> #include <string.h> #include <sys/stat.h> int code_c
  • 大型分布式网站架构设计与实践 lilin530 应用服务器搜索引擎
    1.大型网站软件系统的特点? a.高并发,大流量。 b.高可用。 c.海量数据。 d.用户分布广泛,网络情况复杂。 e.安全环境恶劣。 f.需求快速变更,发布频繁。 g.渐进式发展。 2.大型网站架构演化发展历程? a.初始阶段的网站架构。 应用程序,数据库,文件等所有的资源都在一台服务器上。 b.应用服务器和数据服务器分离。 c.使用缓存改善网站性能。 d.使用应用
  • 在代码中获取Android theme中的attr属性值 OliveExcel androidtheme
    Android的Theme是由各种attr组合而成, 每个attr对应了这个属性的一个引用, 这个引用又可以是各种东西.   在某些情况下, 我们需要获取非自定义的主题下某个属性的内容 (比如拿到系统默认的配色colorAccent), 操作方式举例一则: int defaultColor = 0xFF000000; int[] attrsArray = { andorid.r.
  • 基于Zookeeper的分布式共享锁 roadrunners zookeeper分布式共享锁
    首先,说说我们的场景,订单服务是做成集群的,当两个以上结点同时收到一个相同订单的创建指令,这时并发就产生了,系统就会重复创建订单。等等......场景。这时,分布式共享锁就闪亮登场了。   共享锁在同一个进程中是很容易实现的,但在跨进程或者在不同Server之间就不好实现了。Zookeeper就很容易实现。具体的实现原理官网和其它网站也有翻译,这里就不在赘述了。   官
  • 两个容易被忽略的MySQL知识 tomcat_oracle mysql
    1、varchar(5)可以存储多少个汉字,多少个字母数字?   相信有好多人应该跟我一样,对这个已经很熟悉了,根据经验我们能很快的做出决定,比如说用varchar(200)去存储url等等,但是,即使你用了很多次也很熟悉了,也有可能对上面的问题做出错误的回答。   这个问题我查了好多资料,有的人说是可以存储5个字符,2.5个汉字(每个汉字占用两个字节的话),有的人说这个要区分版本,5.0
  • zoj 3827 Information Entropy(水题) 阿尔萨斯 format
    题目链接:zoj 3827 Information Entropy 题目大意:三种底,计算和。 解题思路:调用库函数就可以直接算了,不过要注意Pi = 0的时候,不过它题目里居然也讲了。。。limp→0+plogb(p)=0,因为p是logp的高阶。 #include <cstdio> #include <cstring> #include <cmath&