前端如何安全的渲染HTML字符串?

在现代的Web 应用中，动态生成和渲染 HTML 字符串是很常见的需求。然而，不正确地渲染HTML字符串可能会导致安全漏洞，例如跨站脚本攻击（XSS）。为了确保应用的安全性，我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践，以帮助你有效地避免潜在的安全风险。

一、常见渲染方式

首先来看一下如何在 HTML、React、Vue、Angular 中渲染HTML字符串。

HTML

在HTML中渲染HTML字符串，可以使用原生JavaScript的innerHTML属性或者创建元素节点并使用appendChild()方法来实现。

（1）使用innerHTML属性：可以通过获取要渲染HTML的目标元素，并将HTML字符串赋值给其innerHTML属性来渲染HTML字符串。例如：

这将在

内部渲染出

Hello, World!

。

（2）创建元素节点和appendChild()方法：可以使用document.createElement()方法创建元素节点，并使用appendChild()方法将该节点添加到父元素中。例如：

这将在

内部渲染出

Hello, World!

。

React

可以通过使用dangerouslySetInnerHTML属性在 React 中渲染HTML字符串。但是，正如这个属性的名字所言，它存在安全风险，HTML 不会被转义，可能会导致XSS问题，因此请慎重使用。

import React from 'react';

const MyComponent = () => {
  const htmlString = '
Hello, React!
';

  return (
    

);
}

export default MyComponent;

这里将要渲染的HTML字符串存储在htmlString变量中，并将其传递给dangerouslySetInnerHTML属性的__html属性。React会将该字符串作为HTML内容插入到被渲染的组件中。

Vue

可以使用v-html指令在Vue中渲染HTML字符串。与在React中使用dangerouslySetInnerHTML类似，使用v-html时需要格外小心。

这里将要渲染的HTML字符串存储在htmlString中，并通过v-html指令将其绑定到需要渲染的元素上（这里是

）。Vue会将htmlString中的字符串解析为HTML，并将其插入到被渲染的元素中。

Angular

可以使用[innerHTML]属性在Angular中渲染 HTML 字符串。

这里将要渲染的HTML字符串存储在名为htmlString的变量中，并将其绑定到[innerHTML]属性上。Angular会将htmlString中的字符串解析为HTML，并将其插入到相应的DOM节点中。

与其他框架相似，使用[innerHTML]属性绑定时要特别小心。确保渲染的HTML字符串是可靠和安全的，避免直接从用户输入或不受信任的来源获取HTML字符串，以防止XSS攻击等安全问题。

另外，Angular也提供了一些内置的安全机制来帮助保护应用免受安全威胁。例如，通过使用Angular的内置管道（如DomSanitizer）对HTML字符串进行转义和验证，可以提高应用的安全性。

import { Component } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Component({
  selector: 'app-example',
  template: `
    

  `,
})
export class ExampleComponent {
  htmlString: string = '
Hello, Angular!
';

  constructor(private sanitizer: DomSanitizer) {}

  getSafeHtml(): SafeHtml {
    return this.sanitizer.bypassSecurityTrustHtml(this.htmlString);
  }
}

这里首先导入DomSanitizer和SafeHtml，这是Angular的内置服务和类型。然后，在组件中使用DomSanitizer通过调用bypassSecurityTrustHtml()方法对HTML字符串进行转义和验证。最后，将返回的SafeHtml对象绑定到[innerHTML]属性上，以进行安全的HTML渲染。

通过使用DomSanitizer服务，Angular会对HTML字符串进行安全检查，并只允许受信任的内容进行渲染，从而减少潜在的安全风险。

注意，在使用DomSanitizer时，确保只对受信任和经过验证的HTML字符串进行操作，并避免直接从用户输入或不受信任的来源获取HTML字符串。这样可以确保应用的安全性，并防止潜在的XSS攻击等安全问题。

二、HTML Sanitizer API

从上面的例子中可以看到，在常见的框架以及在HTML中渲染HTML字符串都存在一定的安全风险。当将用户提供的或不受信任的HTML字符串直接渲染到应用中时，可能会导致跨站脚本攻击（XSS）等安全漏洞。因此，在处理和渲染HTML字符串时，需要采取适当的安全措施来防止潜在的安全问题。

那 HTML 中有没有方法可以让我们安全的渲染 HTML 字符串呢？有，它就是 HTML Sanitizer API。不过这个 API 目前仍然是实验性的，在主流浏览器都支持之前，尽量不要在生产环境使用。下面先来看看这个 API 是怎么用的，为未来该 API 普遍可用做准备。

是什么？

HTML Sanitizer API 在 2021 年初的草案规范中首次被宣布。它为网站上动态更新的HTML提供原生浏览器支持，可以从中删除恶意代码。可以使用 HTML Sanitizer API 在将不安全的 HTML 字符串和 Document 或 DocumentFragment 对象插入到 DOM 中之前对其进行清理和净化。

构建独立的 API 来进行清理的主要目标是：

• 减少 Web 应用中跨站脚本攻击的攻击面。
• 保证 HTML 输出在当前用户代理中的安全性。
• 提高清理器的可用性并使其更方便使用。

HTML Sanitizer API 的出现旨在提供一种方便且安全的方式来处理和净化 HTML，以减少潜在的安全风险，并提高用户代理的安全性。

Sanitizer API 带来了一系列新功能，用于字符串的净化过程：

• 用户输入的净化：该 API 的主要功能是接受并将字符串转换为更安全的形式。这些转换后的字符串不会意外执行 JavaScript，并确保您的应用程序受到跨站脚本攻击的保护。
• 浏览器维护：此库已预先安装在浏览器中，并将在发现错误或新的攻击向量时进行更新。因此，现在拥有了一个内置的净化器，无需导入任何外部库。
• 安全且简单易用：将净化操作转移到浏览器中使其更加便捷、安全和快速。由于浏览器已经具有强大而安全的解析器，它知道如何处理 DOM 中的每个活动元素。与浏览器相比，用 JavaScript 开发的外部解析器可能成本较高，并且很快就会过时。

怎么用？

使用 Sanitizer API 非常简单，只需使用 Sanitizer() 构造函数实例化 Sanitizer 类，并配置实例即可。

对于数据的净化，该 API 提供了三个基本方法。让我们看看应该如何以及何时使用它们。

• 使用隐含上下文对字符串进行净化 

Element.setHTML() 用于解析和净化字符串，并立即将其插入到 DOM 中。这适用于已知目标 DOM 元素并且 HTML 内容以字符串形式存在的情况。

const $div = document.querySelector('div');
const user_input = `Hello There`;
const sanitizer = new Sanitizer() // Our Sanitizer

$div.setHTML(user_input, sanitizer); // 
Hello There

这里想将 user_string 中的 HTML 插入到 id 为 target 的目标元素中。也就是说，希望实现得到与 target.innerHTML = value 相同的效果，但避免 XSS 风险。

• 使用给定上下文对字符串进行净化

Sanitizer.sanitizeFor() 用于解析、净化和准备字符串，以便稍后添加到 DOM 中。当 HTML 内容以字符串形式存在，并且已知目标 DOM 元素类型（例如 div、span）时，此方法最适用。

const user_input = `Hello There`
const sanitizer = new Sanitizer()

sanitizer.sanitizeFor("div", user_input) // HTMLDivElement 

Sanitizer.sanitizeFor()的第一个参数描述了此结果所用于的节点类型。

在使用 sanitizeFor() 方法时，解析 HTML 字符串的结果取决于其所在的上下文/元素。例如，如果将包含  元素的 HTML 字符串插入到 

 元素中，则是允许的。但如果将其插入到 

 元素中，它将被移除。因此，在使用 Sanitizer.sanitizeFor() 方法时，必须将目标元素的标签指定为参数。

sanitizeFor(element, input)

这里也可以使用 HTML 元素中的 .innerHTML 来获取字符串形式的清理结果。

sanitizer.sanitizeFor("div", user_input).innerHTML // Hello There

• 使用节点进行净化

当已经有一个用户可控的 DocumentFragment 时，可以使用 Sanitizer.sanitize() 方法对 DOM 树节点进行净化。

const sanitizer = new Sanitizer()
const $userDiv = ...;
$div.replaceChildren(s.sanitize($userDiv));

除此之外，Sanitizer API 还通过删除和过滤属性和标签来修改 HTML 字符串。例如，Sanitizer API：

• 删除某些标签（script、marquee、head、frame、menu、object 等），但保留内容标签。
• 删除大多数属性。只会保留  标签上的 href 和 

、

标签上的 colspans，其他属性将被删除。 过滤可能引起脚本执行的字符串。 自定义 默认情况下，Sanitizer 实例仅用于防止 XSS 攻击。但是，在某些情况下，可能需要自定义配置的清理器。接下来，下面来看看如何自定义 Sanitizer API。 如果想创建自定义的清理器配置，只需要创建一个配置对象，并在初始化 Sanitizer API 时将其传递给构造函数即可。 const config = { allowElements: [], blockElements: [], dropElements: [], allowAttributes: {}, dropAttributes: {}, allowCustomElements: true, allowComments: true }; // 清理结果由配置定制 new Sanitizer(config) 以下配置参数定义了清理器应如何处理给定元素的净化结果。 allowElements：指定清理器应保留在输入中的元素。 blockElements：指定清理器应从输入中删除但保留其子元素的元素。 dropElements：指定清理器应从输入中删除，包括其子元素在内的元素。 const str = `hello there` new Sanitizer().sanitizeFor("div", str) // hello there new Sanitizer({allowElements: [ "b" ]}).sanitizeFor("div", str) // hello there new Sanitizer({blockElements: [ "b" ]}).sanitizeFor("div", str) // hello there new Sanitizer({allowElements: []}).sanitizeFor("div", str) // hello there 使用 allowAttributes 和 dropAttributes 参数可以定义允许或删除哪个属性。 const str = `hello there` new Sanitizer().sanitizeFor("div", str) // hello there new Sanitizer({allowAttributes: {"style": ["span"]}}).sanitizeFor("div", str) // hello there new Sanitizer({dropAttributes: {"id": ["span"]}}).sanitizeFor("div", str) // hello there AllowCustomElements 参数允许或拒绝使用自定义元素。 const str = `hello there` new Sanitizer().sanitizeFor("div", str); // new Sanitizer({ allowCustomElements: true, allowElements: ["div", "elem"] }).sanitizeFor("div", str); // hello there 注意：如果创建的 Sanitizer 没有任何参数且没有明确定义的配置，则将应用默认配置值。 浏览器支持 目前，浏览器对 Sanitizer API 的支持有限，并且规范仍在制定中。该 API 仍处于实验阶段，因此在生产中使用之前应关注其变化进展。 三、第三方库 到这里我们就知道了，原生 API 和常用的前端框架都没有提供可用的方式来安全的渲染HTML。在实际的开发中，我们可以借助已有的第三方库来安全的渲染 HTML，下面就来介绍几个常用给的库。 DOMPurify DOMPurify 是一款流行的JavaScript库，用于在浏览器环境下进行HTML净化和防止跨站脚本攻击（XSS）。它通过移除恶意代码、过滤危险标签和属性等方式来保护网页免受XSS攻击的威胁。DOMPurify使用了严格的解析和验证策略，并提供了可配置的选项，以便开发人员根据自己的需求进行定制。它可以轻松地集成到现有的Web应用程序中，并且被广泛认为是一种安全可靠的HTML净化解决方案。 可以通过以下步骤来使用 DOMPurify： （1）首先，安装DOMPurify库。可以通过运行以下命令来安装它：2 npm install dompurify （2）在需要使用的组件文件中，引入DOMPurify库： import DOMPurify from 'dompurify'; （3）在组件的适当位置，使用 DOMPurify 来净化HTML字符串，下面以 React 为例： import React from 'react'; const MyComponent = () => { const userInput = ' Hello, World! '; const cleanedHtml = DOMPurify.sanitize(userInput); return ; }; 这里通过在React组件的dangerouslySetInnerHTML属性中传递净化后的HTML内容来显示安全的HTML。 DOMPurify提供了一些选项和配置，可以使用这些选项来自定义DOMPurify的行为： import DOMPurify from 'dompurify'; // 创建自定义的白名单（允许的标签和属性） const myCustomWhiteList = DOMPurify.sanitize.defaults.allowedTags.concat(['custom-tag']); const myCustomAttributes = ['data-custom-attr']; // 创建自定义选项 const myOptions = { ALLOWED_TAGS: myCustomWhiteList, ATTRIBUTES: { ...DOMPurify.sanitize.defaults.ALLOWED_ATTR, 'custom-tag': myCustomAttributes, }, }; const userInput = ' Hello, World! Custom Content'; const cleanedHtml = DOMPurify.sanitize(userInput, myOptions); console.log(cleanedHtml); // 输出: Hello, World! Custom Content 这里定义了一个自定义的白名单myCustomWhiteList，包含了DOMPurify默认的允许标签，并添加了一个名为custom-tag的自定义标签。我们还定义了一个包含自定义属性data-custom-attr的对象myCustomAttributes。然后，创建了一个自定义选项myOptions，通过覆盖ALLOWED_TAGS和ATTRIBUTES来应用自定义的白名单和属性规则。最后，使用DOMPurify.sanitize()方法，并传入用户输入的HTML和自定义选项myOptions，DOMPurify 会根据自定义规则进行过滤和净化。 可以根据需要定义自己的白名单（允许的标签）和属性，并在自定义选项中使用它们来自定义DOMPurify的行为。 js-xss js-xss是一个JavaScript库，用于防御和过滤跨站脚本攻击（XSS）。它提供了一组方法和函数，可以净化和转义用户输入的HTML内容，以确保在浏览器环境中呈现的HTML是安全的。 js-xss库使用白名单过滤器的概念来防御XSS攻击。它定义了一组允许的HTML标签和属性，同时还提供了一些选项和配置来定制过滤规则。使用js-xss，可以对用户提交的HTML内容进行净化，删除或转义所有潜在的危险代码，只保留安全的HTML标签和属性。 可以通过以下步骤来使用 js-xss： （1）安装js-xss库：通过npm或yarn安装js-xss库。 npm install xss （2）导入js-xss库：在React组件文件中导入js-xss库。 import xss from 'xss'; （3）使用js-xss过滤HTML内容：在需要过滤HTML的地方，调用js-xss的方法来净化HTML。 import React from 'react'; import xss from 'xss'; const MyComponent = () => { const userInput = ' Hello, World! '; const cleanedHtml = xss(userInput); return ; }; export default MyComponent; 这里在MyComponent组件中使用了dangerouslySetInnerHTML属性来渲染HTML内容。通过调用xss()函数并传入用户输入的HTML，我们可以将其过滤和净化，并将结果设置为组件的内容。 js-xss库提供了一些选项和配置，可以使用这些选项来定义自定义的过滤规则： import xss from 'xss'; // 创建自定义WhiteList过滤规则 const myCustomWhiteList = { a: ['href', 'title', 'target'], // 只允许'a'标签的'href', 'title', 'target'属性 p: [], // 允许空白的'p'标签 img: ['src', 'alt'], // 只允许'img'标签的'src', 'alt'属性 }; // 创建自定义选项 const myOptions = { whiteList: myCustomWhiteList, // 使用自定义的WhiteList过滤规则 }; const userInput = ' Hello, World! Example'; const cleanedHtml = xss(userInput, myOptions); console.log(cleanedHtml); // 输出: Hello, World! Example 这里定义了一个自定义的WhiteList过滤规则myCustomWhiteList，并将其传递给定义的选项myOptions。然后，调用xss()函数时传入用户输入的HTML和自定义选项，js-xss库会根据自定义的规则进行过滤和净化。 sanitize-html sanitize-html 是一个用于净化和过滤HTML代码的JavaScript库。它被设计用于去除潜在的恶意或不安全的内容，以及保护应用程序免受跨站脚本攻击（XSS）等安全漏洞的影响。它提供了一种简单而灵活的方式来清理用户输入的HTML代码，以确保只有安全的标签、属性和样式保留下来，并且不包含任何恶意代码或潜在的危险内容。 sanitize-html使用一个白名单（配置选项）来定义允许的标签、属性和样式，并将所有不在白名单内的内容进行过滤和删除。它还可以处理不匹配的标签、标签嵌套问题和其他HTML相关的问题。 可以通过以下步骤来使用 sanitize-html： （1）在项目中安装sanitize-html库： npm install sanitize-html （2）在组件中引入sanitize-html库： import sanitizeHtml from 'sanitize-html'; （3）在组件中使用sanitizeHtml函数来净化和过滤HTML代码。例如，您以将用户输入的HTML存储在组件的状态或属性中，并在渲染时应用sanitizeHtml函数： import React from 'react'; import sanitizeHtml from 'sanitize-html'; function MyComponent() { const userInput = ' Hello, World! '; const cleanedHtml = sanitizeHtml(userInput); return ( ); } 这里在组件内部定义了用户输入的HTML代码，并使用sanitizeHtml函数对其进行净化。然后，使用dangerouslySetInnerHTML属性将经过净化的HTML代码渲染到页面上。 可以使用sanitize-html提供的sanitize函数并传递一个配置对象作为参数来自定义sanitize-html的配置，配置对象可以包含一系列选项，用于定义过滤规则和允许的HTML标签和属性等。 import sanitizeHtml from 'sanitize-html'; const customConfig = { allowedTags: ['b', 'i', 'u'], // 允许的标签 allowedAttributes: { a: ['href'] // 允许的a标签属性 }, allowedSchemes: ['http', 'https'], // 允许的URL协议 allowedClasses: { b: ['bold', 'highlight'], // 允许的b标签的class i: ['italic'] // 允许的i标签的class }, transformTags: { b: 'strong', // 将b标签转换为strong标签 i: 'em' // 将i标签转换为em标签 }, nonTextTags: ['style', 'script', 'textarea', 'noscript'] // 不允许解析的标签 }; const userInput = 'Hello World Link'; const cleanedHtml = sanitizeHtml(userInput, customConfig); 这里创建了一个名为customConfig的配置对象，其中包含了一些自定义的过滤规则和选项。这个配置对象定义了允许的标签、允许的属性、允许的URL协议、允许的CSS类名、标签的转换规则以及不允许解析的标签等。 然后，将用户输入的HTML代码作为第一个参数传递给sanitizeHtml函数，并将customConfig作为第二个参数传递。sanitizeHtml函数将根据配置对象中定义的规则对HTML代码进行过滤和净化，并返回经过净化后的HTML代码。 相关拓展：前端开发利器 扯个嗓子！关于目前低代码在技术领域很活跃！ 低代码是什么？一组数字技术工具平台，能基于图形化拖拽、参数化配置等更为高效的方式，实现快速构建、数据编排、连接生态、中台服务等。通过少量代码或不用代码实现数字化转型中的场景应用创新。它能缓解甚至解决庞大的市场需求与传统的开发生产力引发的供需关系矛盾问题，是数字化转型过程中降本增效趋势下的产物。 这边介绍一款好用的低代码平台——JNPF快速开发平台。近年在市场表现和产品竞争力方面表现较为突出，采用的是最新主流前后分离框架（SpringBoot+Mybatis-plus+Ant-Design+Vue3）。代码生成器依赖性低，灵活的扩展能力，可灵活实现二次开发。 以JNPF为代表的企业级低代码平台为了支撑更高技术要求的应用开发，从数据库建模、Web API构建到页面设计，与传统软件开发几乎没有差异，只是通过低代码可视化模式，减少了构建“增删改查”功能的重复劳动，还没有了解过低代码的伙伴可以尝试了解一下。 应用：https://www.jnpfsoft.com/?csdn 有了它，开发人员在开发过程中就可以轻松上手，充分利用传统开发模式下积累的经验。所以低代码平台对于程序员来说，有着很大帮助。 你可能感兴趣的:(前端,安全,html) 移动端城市区县二级联动选择功能实现包 good2know 本文还有配套的精品资源，点击获取简介：本项目是一套为移动端设计的jQuery实现方案，用于简化用户在选择城市和区县时的流程。它包括所有必需文件：HTML、JavaScript、CSS及图片资源。通过动态更新下拉菜单选项，实现城市到区县的联动效果，支持数据异步加载。开发者可以轻松集成此功能到移动网站或应用，并可基于需求进行扩展和优化。1.jQuery移动端解决方案概述jQuery技术简介jQuery day15｜前端框架学习和算法 universe_01 前端算法笔记 T22括号生成先把所有情况都画出来，然后（在满足什么情况下）把不符合条件的删除。T78子集要画树状图，把思路清晰。可以用暴力法、回溯法和DFS做这个题DFS深度搜索：每个边都走完，再回溯应用：二叉树搜索，图搜索回溯算法=DFS+剪枝T200岛屿数量（非常经典BFS宽度把树状转化成队列形式，lambda匿名函数“一次性的小函数，没有名字”setup语法糖：让代码更简洁好写的语法ref创建：基本类型的 我不懂什么是爱，但我给你全部我拥有的 香尧 因为怕黑，所以愿意陪伴在夜中行走的人，给他一点点的安全感。因为渴望温柔与爱，所以愿意为别的孩子付出爱与温柔。因为曾遭受侮辱和伤害，所以不以同样的方式施于其他人。如果你向别人出之以利刃，对方还了你爱与包容，真的不要感激他，真的不要赞美他。每一个被人伤害过的人心里都留下了一颗仇恨的种子，他也会想要有一天以眼还眼，以牙还牙。但他未让那颗种子生根发芽，他用一把心剑又一次刺向他自己，用他血荐仇恨，开出一朵温 深入解析JVM工作原理：从字节码到机器指令的全过程 一、JVM概述Java虚拟机(JVM)是Java平台的核心组件，它实现了Java"一次编写，到处运行"的理念。JVM是一个抽象的计算机器，它有自己的指令集和运行时内存管理机制。JVM的主要职责：加载：读取.class文件并验证其正确性存储：管理内存分配和垃圾回收执行：解释或编译字节码为机器指令安全：提供沙箱环境限制恶意代码二、JVM架构详解JVM由三个主要子系统组成：1.类加载子系统类加载过程分为 叮嘱!北恒高级班周一丰创投杯量化私募大赛不正规！受骗不能提现出金被骗真相曝光！ 天权顾问 量化北恒私募实盘大赛周一丰投票项目安全吗?量化北恒私募实盘大赛周一丰积分投票已经亏损被骗了怎么办？警惕!量化北恒私募实盘大赛周一丰十选五项目合法吗——杀猪盘骗局！被骗提不了款!提不了现!出不来金!不要上当!自古有句话讲得好“人善被欺、马善被骑”，现如今也是被骗子利用到了极致，人善就真该被欺骗吗？狡猾的骗子们就利用到了这点，利用同情心、爱心去进行诈骗，宣传公益捐款、爱心慈善打比赛来骗取资金！正常的投 SpringMVC的执行流程 1、什么是MVCMVC是一种设计模式。MVC的原理图如下所示M-Model模型（完成业务逻辑：有javaBean构成，service+dao+entity）V-View视图（做界面的展示jsp，html……）C-Controller控制器（接收请求—>调用模型—>根据结果派发页面2、SpringMVC是什么SpringMVC是一个MVC的开源框架，SpringMVC=Struts2+Spring， 企业级区块链平台Hyperchain核心原理剖析 boyedu 区块链区块链企业级区块链平台Hyperchain Hyperchain作为国产自主可控的企业级联盟区块链平台，其核心原理围绕高性能共识、隐私保护、智能合约引擎及可扩展架构展开，通过多模块协同实现企业级区块链网络的高效部署与安全运行。以下从核心架构、关键技术、性能优化、安全机制、应用场景五个维度展开剖析：一、核心架构：分层解耦与模块化设计Hyperchain采用分层架构，将区块链功能解耦为独立模块，支持灵活组合与扩展：P2P网络层由验证节点（VP） 第八章 竟然是他 橥橥 十天之后，京城已在眼前。沐子莹总算松了口，天子脚下，相对安全。马车在城门外停下，杨嬷嬷掀了帘子往外望去，哀叹了一声。沐子莹拍拍身上的灰尘安慰她说：“嬷嬷，别怕，马上就要到府了，咱们可得把那车夫的事跟主母讲一讲，让主她这个当家的给我们作主才是。”嬷嬷却连连摆手，“不可啊小姐，咱们能平安回府就是幸事，车夫的事……就说他摔死在半路，其它的，莫要再提了吧。”“若真是车夫生事那算是万幸了，只怕容不得我们的， 最新阿里四面面试真题46道：面试技巧+核心问题+面试心得 风平浪静如码 前言做技术的有一种资历，叫做通过了阿里的面试。这些阿里Java相关问题，都是之前通过不断优秀人才的铺垫总结的，先自己弄懂了再去阿里面试，不然就是去丢脸，被虐。希望对大家帮助，祝面试成功，有个更好的职业规划。一，阿里常见技术面1、微信红包怎么实现。2、海量数据分析。3、测试职位问的线程安全和非线程安全。4、HTTP2.0、thrift。5、面试电话沟通可能先让自我介绍。6、分布式事务一致性。7、ni 2025年SDK游戏盾终极解析：重新定义手游安全的“隐形护甲” 上海云盾商务经理杨杨 游戏安全 副标题：从客户端加密到AI反外挂，拆解全链路防护如何重塑游戏攻防天平引言：当传统高防在手游战场“失效”2025年全球手游市场规模突破$2000亿，黑客单次攻击成本却降至$30——某SLG游戏因协议层CC攻击单日流失37%玩家，某开放世界游戏遭低频DDoS瘫痪6小时损失千万。传统高防IP的致命短板暴露无遗：无法识别伪造客户端流量、难防协议篡改、误杀率超15%。而集成于游戏终端的SDK游戏盾，正以“源 善吃五色五味，女人更妖娆，想漂亮享受健康美味吃起来 余老师讲健康 善吃五色五味，女人更妖娆我们所说的五色五味是指具有赤、青、黄、白、黑五种颜色以及酸、辛、甘、苦、咸五种味道的食物。其实五味和五色与人体的五脏对应，养生必养五脏，通过五味、五色的食物可以调养人的容颜。一、赤色、苦味入心——养颜，面色红润有句话这么说，“会吃的女人更漂亮，贪吃的女人变糟粕。”经过科学、合理搭配的五色五味饮食，就是最天然、最安全的美容药方。赤色——抗衰老，增强免疫力，改善血液循环。赤色即 2019做重要的事，让遗憾减少 Sandy黄珊丹 岁末年初，又到了回顾和展望的时间。回顾2018，你有哪些事情没有去做或者没有做到而感到遗憾的呢？2019年我们要怎么做，可以减少遗憾呢？回想自己在2017年以前，一直处在忙碌的家庭和事业中，忙碌让我感到安全，稍微停下脚步都感到是一种罪过，每一件事似乎都很重要。直到2017春节后，因为对未来彷徨和焦虑，让我严重失眠，家庭关系恶化，都让心疲惫无法进入工作状态，不得不寻找解决的的办法。在2017年5月份 新家长必修课小贴士—如何做到无条件接纳 SDDE兰 2021年6月14日星期一《新父母晨报》【育儿知识】：怎样做才是无条件地接纳孩子呢？在孩子成长的过程当中，来自父母无条件地接纳，是孩子成长的安全基地，是孩子面对任何困难时候的底气。只有被父母无条件接纳的孩子，未来不管遇到什么样的境况，都会感觉有后盾，都能更快地去适应。怎样做才是无条件地接纳孩子呢？有两个非常重要的维度：️接纳孩子的感受✨一个孩子不管他的行为是可爱，还是令人讨厌，他其实都是为了寻求父 今日随笔 小小林_005b 2019.10.21.周一晴全职第436天50+21/day118天【皮皮第118天】1.昨晚闹腾到一点多才安稳入睡，一个晚上一直哭哭闹闹(´;︵;`)，没睡一会儿就会惊吓大哭(´;︵;`)，一直抱着哄，似乎抱着才更加有安全感才能睡得更好。小胖子越来越重，我的手和腰部有些承受不了，经常腰酸痛到直不起来，好在有黑先生和啊影子下班后有空了就帮我抱一会儿。2.今日排便三次，一次偏向绿色，一两次金黄色。3 Selenium 特殊控件操作与 ActionChains 实践详解 小馋喵知识杂货铺 selenium测试工具 1.下拉框单选操作(a)使用SeleniumSelect类（标准HTML标签）Selenium提供了内置的Select类用于操作标准下拉框，这种方式简单且直观。fromselenium.webdriver.support.uiimportSelect#定位下拉框dropdown=Select(driver.find_element("id","dropdown_id"))#通过以下三种方式选择单个 【Coze搞钱实战】3. 避坑指南：对话流设计中的6个致命错误（真实案例） AI_DL_CODE Coze平台对话流设计客服Bot避坑用户流失封号风险智能客服配置故障修复指南 摘要：对话流设计是智能客服Bot能否落地的核心环节，直接影响用户体验与业务安全。本文基于50+企业Bot部署故障分析，聚焦导致用户流失、投诉甚至封号的6大致命错误：无限循环追问、人工移交超时、敏感词过滤缺失、知识库冲突、未处理否定意图、跨平台适配失败。通过真实案例拆解每个错误的表现形式、技术根因及工业级解决方案，提供可直接复用的Coze配置代码、工作流模板和检测工具。文中包含对话流健康度检测工具使 深入理解 Tomcat Wrapper 原理 北漂老男人 Tomcattomcatjava 深入理解TomcatWrapper原理一、引言在Tomcat的分层容器架构中，Wrapper作为最底层的容器，专门负责管理单个Servlet的生命周期及请求分发。每一个Servlet（包括JSP、Filter等）都对应一个Wrapper。Wrapper是Servlet规范与Tomcat容器实现之间的桥梁，直接关系到请求的分发效率、Servlet的加载与重用、安全隔离等。本文将系统剖析Wrapper 微信公众号回调java_处理微信公众号消息回调 weixin_39607620 微信公众号回调java 1、背景在上一节中，咱们知道如何接入微信公众号，可是以后公众号会与咱们进行交互，那么微信公众号如何通知到咱们本身的服务器呢？咱们知道咱们接入的时候提供的url是GET/mp/entry，那么公众号以后产生的事件将会以POST/mp/entry发送到咱们本身的服务器上。html2、代码实现，此处仍是使用weixin-java-mp这个框架实现一、引入weixin-java-mpcom.github. 盘点长期可做的副业兼职有哪些？分享7个长期可做的靠谱副业兼职！ 古楼 副业兼职做什么好呢？适合上班族的6个副业？不少上班族薪资不高，加薪无望，就希望搞副业多挣点钱，不仅能打消下班的空闲时间，还能丰富自己的生活，还能赚点钱补贴家用。那么有什么适合上班族的副业，既不占用上班的时间，又不会消耗太多的精力影响第二天上班。这里我总结了6个适合上班族的副业，提供给大家，希望有所帮助。第一款优惠劵导购平台，零投资，安全可靠高省APP，是2022年推出的平台，0投资，0风险、高省A 你竟然还在用克隆删除？Conda最新版rename命令全攻略！ 曦紫沐 Python基础知识conda虚拟环境管理 文章摘要Conda虚拟环境管理终于迎来革命性升级！本文揭秘Conda4.9+版本新增的rename黑科技，彻底告别传统“克隆+删除”的繁琐操作。从命令解析到实战案例，手把手教你如何安全高效地重命名Python虚拟环境，附带版本检测、环境迁移、故障排查等进阶技巧，助你提升开发效率10倍！一、颠覆认知：Conda居然自带重命名功能？很多开发者仍停留在“Conda无法直接重命名环境”的认知阶段，实际上自 链商拉不到人能赚钱么，谈谈我的看法 糖葫芦不甜 链商作为一种新兴的商业形态，往往依赖于用户网络的扩展和交易量的增加来实现价值增长，但这并不意味着没有直接拉新就无法盈利。以下是我对这一问题的几点看法：招合作伙伴↓微信在文章底部。首先，链商能否赚钱，关键在于其是否能提供独特且有价值的产品或服务。如果链商平台能够构建出高效、透明、安全的价值交换体系，解决行业痛点，提升用户体验，那么即使没有大规模的拉新活动，也能通过现有用户的口碑传播和持续使用来产生稳 人工智能应用研究快讯 2021-11-30 峰谷皆平 [HTML]ArtificialIntelligenceforSkinCancerDetection:ScopingReviewATakiddin,JSchneider,YYang,AAbd-Alrazaq...JournalofMedicalInternet...,2021ABSTACT:Background:Skincanceristhemostcommoncancertypeaffectin 中原焦点团队党秀丽分享276天，约练268次，5月29日，周五 润物无声dang 第十二次课，答疑解惑。1.咨询约练过程中遇到来访者上来就说想处理情绪，可是聊的过程中他又不想具体聊他的情绪怎么产生的，多久了，就是希望用外化技术处理他的情绪，我除了好奇是什么让他希望用外化呢，也用阳谋告诉他，外化前也是需要具体的聊聊这个情绪的，还可以怎么做呢？给他安全感这一块大概怎么做呢？不想具体说有他的道理，聊聊情绪大概是什么事儿？专业的认识，专业度的认可。不带功利心，转介几次的不太好，信任程度 《每日邦哥说》第46说：真正拥有人格魅力的女性 人民剛 内心强大的女人，总是很开朗，对于任何事情，都会一笑而过女人最大的底气，是对自己的自信，也是你的安全感一个女人最重要的是活出精彩自我，这样世界才会为你鼓掌猴小邦俱乐部|幸福小家、帮助大家、贡献国家，伙伴们大家好，欢迎收听每日邦哥说，我是邦哥。有一种女人，她们在感情里面容易失去自我，在生活中遇到困难，连还击的资格都没有，做人只能不断妥协，她们大多都没有太强的远见，往往只看到短期的得失。这种女人，其实往 【Jupyter】个人开发常见命令 TIM老师 #Pycharm&VSCodepythonJupyter 1.查看python版本importsysprint(sys.version)2.ipynb/py文件转换jupyternbconvert--topythonmy_file.ipynbipynb转换为mdjupyternbconvert--tomdmy_file.ipynbipynb转为htmljupyternbconvert--tohtmlmy_file.ipynbipython转换为pdfju 程序员必备：10 个提升代码质量的工具 大力出奇迹985 宠物 在软件开发过程中，代码质量对项目的成功起着决定性作用。高质量的代码不仅易于维护和扩展，还能有效降低成本并提升可靠性。本文精心挑选了10个程序员必备工具，助力提升代码质量。这些工具涵盖代码格式化、静态分析、代码审查、测试、性能优化、安全扫描、版本控制、依赖管理、代码生成以及文档生成等多个关键领域。通过使用它们，开发者能够高效地发现并解决代码中的潜在问题，遵循最佳实践，提升代码的可读性、可维护性与安全 用代码生成艺术字：设计个性化海报的秘密 本文围绕“用代码生成艺术字：设计个性化海报的秘密”展开，先概述代码生成艺术字在海报设计中的独特价值，接着介绍常用的代码工具（如HTML、CSS、JavaScript等），详细阐述从构思到实现的完整流程，包括字体样式设计、动态效果添加等，还分享了提升艺术字质感的技巧及实际案例。最后总结代码生成艺术字的优势，为设计师提供打造个性化海报的实用指南，助力提升海报设计的独特性与吸引力，符合搜索引擎SEO标准 你的连接不是专用连接攻击者可能试图从 github.com 窃取你的信息(例如，密码、消息或信用卡)。 --解决办法 我遇到了.检查安全软件或企业防火墙/代理(包括VPN)这个问题，关了就好，我是用来xbox加速github，所以先开在关既可以加速又可以访问这个错误表明你的浏览器（MicrosoftEdge）无法安全地连接到GitHub，因为遇到了证书验证问题（NET::ERR_CERT_AUTHORITY_INVALID）。错误信息明确指出网站使用了HSTS（HTTPStrictTransportSecurit vue element 封装表单 影子信息 vuevue.jsjavascript前端 背景：在前端系统开发中，系统页面涉及到的表单组件比较多，所以进行了简单的封装。封装的包括一些Form表单组件，如下：input输入框、select下拉框、等实现效果：理论知识：表单组件官方链接：点击跳转封装组件：封装组件的思路：不封装element组件，每一个input组件绑定一个form对象，例如官网。简单封装element组件，利用for循环生成form表单的每一项el-form-item。进 前端面试每日 3+1 —— 第39天 浪子神剑 今天的面试题(2019.05.25)——第39天[html]title与h1、b与strong、i与em的区别分别是什么？[css]写出你知道的CSS水平和垂直居中的方法[js]说说你对模块化的理解[软技能]公钥加密和私钥加密是什么？《论语》，曾子曰：“吾日三省吾身”（我每天多次反省自己）。前端面试每日3+1题，以面试题来驱动学习，每天进步一点！让努力成为一种习惯，让奋斗成为一种享受！欢迎在Iss Algorithm 香水浓 javaAlgorithm 冒泡排序 public static void sort(Integer[] param) { for (int i = param.length - 1; i > 0; i--) { for (int j = 0; j < i; j++) { int current = param[j]; int next = param[j + 1]; mongoDB 复杂查询表达式 开窍的石头 mongodb 1:count    Pg: db.user.find().count();    统计多少条数据 2:不等于$ne    Pg: db.user.find({_id:{$ne:3}},{name:1,sex:1,_id:0});    查询id不等于3的数据。 3：大于$gt $gte(大于等于) &n Jboss Java heap space异常解决方法, jboss OutOfMemoryError : PermGen space 0624chenhong jvmjboss 转自 http://blog.csdn.net/zou274/article/details/5552630 解决办法： window->preferences->java->installed jres->edit jre 把default vm arguments 的参数设为-Xms64m -Xmx512m ---------------- 文件上传 下载 解析 相对路径 不懂事的小屁孩 文件上传 有点坑吧，弄这么一个简单的东西弄了一天多，身边还有大神指导着，网上各种百度着。 下面总结一下遇到的问题： 文件上传，在页面上传的时候，不要想着去操作绝对路径，浏览器会对客户端的信息进行保护，避免用户信息收到攻击。 在上传图片，或者文件时，使用form表单来操作。 前台通过form表单传输一个流到后台，而不是ajax传递参数到后台，代码如下: <form action=& 怎么实现qq空间批量点赞 换个号韩国红果果 qq 纯粹为了好玩！！ 逻辑很简单 1 打开浏览器console；输入以下代码。 先上添加赞的代码 var tools={}; //添加所有赞 function init(){ document.body.scrollTop=10000; setTimeout(function(){document.body.scrollTop=0;},2000);//加 判断是否为中文 灵静志远 中文 方法一： public class Zhidao { public static void main(String args[]) { String s = "sdf灭礌 kjl d{';\fdsjlk是"; int n=0; for(int i=0; i<s.length(); i++) { n = (int)s.charAt(i); if(( 一个电话面试后总结 a-john 面试 今天，接了一个电话面试，对于还是初学者的我来说，紧张了半天。 面试的问题分了层次，对于一类问题，由简到难。自己觉得回答不好的地方作了一下总结：   在谈到集合类的时候，举几个常用的集合类，想都没想，直接说了list,map。   然后对list和map分别举几个类型：   list方面：ArrayList,LinkedList。在谈到他们的区别时，愣住了 MSSQL中Escape转义的使用 aijuans MSSQL IF OBJECT_ID('tempdb..#ABC') is not null drop table tempdb..#ABC create table #ABC ( PATHNAME NVARCHAR(50) ) insert into #ABC SELECT N'/ABCDEFGHI' UNION ALL SELECT N'/ABCDGAFGASASSDFA' UNION ALL 一个简单的存储过程 asialee mysql存储过程构造数据批量插入            今天要批量的生成一批测试数据，其中中间有部分数据是变化的，本来想写个程序来生成的，后来想到存储过程就可以搞定，所以随手写了一个，记录在此：            DELIMITER $$ DROP PROCEDURE IF EXISTS inse annot convert from HomeFragment_1 to Fragment 百合不是茶 android导包错误 创建了几个类继承Fragment, 需要将创建的类存储在ArrayList<Fragment>中; 出现不能将new 出来的对象放到队列中,原因很简单;     创建类时引入包是:import android.app.Fragment;      创建队列和对象时使用的包是:import android.support.v4.ap Weblogic10两种修改端口的方法 bijian1013 weblogic端口号配置管理config.xml 一.进入控制台进行修改    1.进入控制台:  http://127.0.0.1:7001/console     2.展开左边树菜单         域结构->环境->服务器-->点击AdminServer(管理) & mysql 操作指令 征客丶 mysql 一、连接mysql 进入 mysql 的安装目录； $ bin/mysql -p [host IP 如果是登录本地的mysql 可以不写 -p 直接 -u] -u [userName] -p 输入密码，回车，接连； 二、权限操作［如果你很了解mysql数据库后，你可以直接去修改系统表，然后用 mysql> flush privileges; 指令让权限生效］ 1、赋权 mys 【Hive一】Hive入门 bit1129 hive Hive安装与配置 Hive的运行需要依赖于Hadoop，因此需要首先安装Hadoop2.5.2，并且Hive的启动前需要首先启动Hadoop。   Hive安装和配置的步骤   1. 从如下地址下载Hive0.14.0   http://mirror.bit.edu.cn/apache/hive/    2.解压hive，在系统变 ajax 三种提交请求的方法 BlueSkator Ajaxjqery 1、ajax 提交请求 $.ajax({ type:"post", url : "${ctx}/front/Hotel/getAllHotelByAjax.do", dataType : "json", success : function(result) { try { for(v mongodb开发环境下的搭建入门 braveCS 运维   linux下安装mongodb 1）官网下载mongodb-linux-x86_64-rhel62-3.0.4.gz 2）linux 解压  gzip -d mongodb-linux-x86_64-rhel62-3.0.4.gz; mv mongodb-linux-x86_64-rhel62-3.0.4 mongodb-linux-x86_64-rhel62- 编程之美-最短摘要的生成 bylijinnan java数据结构算法编程之美 import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; public class ShortestAbstract { /** * 编程之美 最短摘要的生成 * 扫描过程始终保持一个[pBegin,pEnd]的range,初始化确保[pBegin,pEnd]的ran json数据解析及typeof chengxuyuancsdn jstypeofjson解析 // json格式 var people='{"authors": [{"firstName": "AAA","lastName": "BBB"},' +' {"firstName": "CCC& 流程系统设计的层次和目标 comsci 设计模式数据结构sql框架脚本                               流程系统设计的层次和目标   RMAN List和report 命令 daizj oraclelistreportrman LIST 命令 使用RMAN LIST 命令显示有关资料档案库中记录的备份集、代理副本和映像副本的 信息。使用此命令可列出： • RMAN 资料档案库中状态不是AVAILABLE 的备份和副本 • 可用的且可以用于还原操作的数据文件备份和副本 • 备份集和副本，其中包含指定数据文件列表或指定表空间的备份 • 包含指定名称或范围的所有归档日志备份的备份集和副本 • 由标记、完成时间、可 二叉树:红黑树 dieslrae 二叉树     红黑树是一种自平衡的二叉树,它的查找,插入,删除操作时间复杂度皆为O(logN),不会出现普通二叉搜索树在最差情况时时间复杂度会变为O(N)的问题.     红黑树必须遵循红黑规则,规则如下     1、每个节点不是红就是黑。     2、根总是黑的  & C语言homework3，7个小题目的代码 dcj3sjt126com c 1、打印100以内的所有奇数。 # include <stdio.h> int main(void) { int i; for (i=1; i<=100; i++) { if (i%2 != 0) printf("%d ", i); } return 0; }  2、从键盘上输入10个整数， 自定义按钮, 图片在上, 文字在下, 居中显示 dcj3sjt126com 自定义 #import <UIKit/UIKit.h> @interface MyButton : UIButton -(void)setFrame:(CGRect)frame ImageName:(NSString*)imageName Target:(id)target Action:(SEL)action Title:(NSString*)title Font:(CGFloa MySQL查询语句练习题，测试足够用了 flyvszhb sqlmysql http://blog.sina.com.cn/s/blog_767d65530101861c.html 1.创建student和score表 CREATE  TABLE  student ( id  INT(10)  NOT NULL  UNIQUE  PRIMARY KEY  , name  VARCHAR 转：MyBatis Generator 详解 happyqing mybatis   MyBatis Generator 详解 http://blog.csdn.net/isea533/article/details/42102297   MyBatis Generator详解 http://git.oschina.net/free/Mybatis_Utils/blob/master/MybatisGeneator/MybatisGeneator. 让程序员少走弯路的14个忠告 jingjing0907 工作计划学习   无论是谁，在刚进入某个领域之时，有再大的雄心壮志也敌不过眼前的迷茫：不知道应该怎么做，不知道应该做什么。下面是一名软件开发人员所学到的经验，希望能对大家有所帮助   1.不要害怕在工作中学习。 只要有电脑，就可以通过电子阅读器阅读报纸和大多数书籍。如果你只是做好自己的本职工作以及分配的任务，那是学不到很多东西的。如果你盲目地要求更多的工作，也是不可能提升自己的。放 nginx和NetScaler区别 流浪鱼 nginx NetScaler是一个完整的包含操作系统和应用交付功能的产品，Nginx并不包含操作系统，在处理连接方面，需要依赖于操作系统，所以在并发连接数方面和防DoS攻击方面，Nginx不具备优势。 2.易用性方面差别也比较大。Nginx对管理员的水平要求比较高，参数比较多，不确定性给运营带来隐患。在NetScaler常见的配置如健康检查，HA等，在Nginx上的配置的实现相对复杂。 3.策略灵活度方 第11章 动画效果（下） onestopweb 动画 index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/ FAQ - SAP BW BO roadmap blueoxygen BOBW http://www.sdn.sap.com/irj/boc/business-objects-for-sap-faq   Besides, I care that how to integrate tightly.   By the way, for BW consultants, please just focus on Query Designer which i 关于java堆内存溢出的几种情况 tomcat_oracle javajvmjdkthread 【情况一】： 　　 java.lang.OutOfMemoryError: Java heap space：这种是java堆内存不够，一个原因是真不够，另一个原因是程序中有死循环； 　　如果是java堆内存不够的话，可以通过调整JVM下面的配置来解决： 　　<jvm-arg>-Xms3062m</jvm-arg> 　　<jvm-arg>-Xmx Manifest.permission_group权限组 阿尔萨斯 Permission 结构 继承关系 public static final class Manifest.permission_group extends Object java.lang.Object android. Manifest.permission_group 常量 ACCOUNTS 直接通过统计管理器访问管理的统计 COST_MONEY可以用来让用户花钱但不需要通过与他们直接牵涉的权限 D 按字母分类： ABCDEFGHIJKLMNOPQRSTUVWXYZ其他 首页 - 关于我们 - 站内搜索 - Sitemap - 侵权投诉 版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.