缘友一世
缘友一世

网安系列【3】之深入理解内容安全策略(CSP)

文章目录

  • 一 CSP(内容安全策略)
  • 二 CSP基础:如何实现内容安全策略
    • 2.1 主要实现方式
    • 2.2 基本指令解析
  • 三 简单到复杂:CSP策略示例
    • 3.1 示例1:最基本的CSP策略
    • 3.2 示例2:允许特定CDN资源
    • 3.3 示例3:更复杂的策略
  • 四 CSP进阶概念
    • 4.1 非ce与哈希值
    • 4.2 报告机制
  • 五 CSP案例
    • 5.1 案例1:防止XSS攻击
    • 5.2 案例2:第三方集成
    • 5.3 案例3:渐进式采用CSP
  • 六 CSP的局限性
  • 七 总结

一 CSP(内容安全策略)

  • 内容安全策略(Content Security Policy,简称CSP)是一种重要的安全层,用于检测和减轻某些类型的前端攻击,包括跨站脚本(XSS)和数据注入攻击。它通过允许开发者创建可信内容来源的白名单,使浏览器只执行或渲染来自这些来源的资源。

在传统的前端开发中,浏览器会无条件地加载和执行任何来自页面内容的资源,这带来了严重的安全隐患:

  1. XSS攻击:恶意脚本被注入到网页中并在用户浏览器中执行
  2. 数据泄露:敏感数据被发送到恶意服务器
  3. 资源劫持:页面加载了被篡改的第三方资源
  • CSP像是为你的网站配备了一位严格的保安,只允许预先批准的"访客"(资源)进入。

二 CSP基础:如何实现内容安全策略

2.1 主要实现方式

  1. HTTP响应头(推荐方式):
    Content-Security-Policy: default-src 'self'
  2. HTML meta标签
    <meta http-equiv="Content-Security-Policy" content="default-src 'self'">
  • HTTP响应头中定义的CSP策略会完全覆盖meta标签中的策略。服务器发送的HTTP头在HTML文档开始解析前就已经被浏览器处理,CSP规范明确指出HTTP头是主要实施方式。

2.2 基本指令解析

CSP通过一系列指令来控制不同类型的资源:

  • default-src:默认策略,适用于未明确指定的大多数资源类型
  • script-src:控制JavaScript的来源
  • style-src:控制CSS样式表的来源
  • img-src:控制图片资源的来源
  • connect-src:控制XMLHttpRequest、WebSocket等连接的来源
  • font-src:控制网页字体的来源
  • object-src:控制等插件
  • media-src:控制的来源
  • frame-src:控制iframe的来源(已废弃,改用child-srcframe-src

    • 三 简单到复杂:CSP策略示例

    3.1 示例1:最基本的CSP策略

    • 只允许加载同源的资源:
    Content-Security-Policy: default-src 'self'

    这个策略表示:

    • 所有JavaScript、CSS、图片、字体等资源必须来自当前网站的域名
    • 不允许内联脚本和样式
    • 不允许eval()等动态代码执行

    3.2 示例2:允许特定CDN资源

    • 允许来自自己域名和特定CDN的资源:
    Content-Security-Policy: 
  default-src 'self';
  script-src 'self' https://cdn.example.com;
  style-src 'self' https://cdn.example.com;
  img-src 'self' https://images.example.com;
  font-src 'self' https://fonts.example.com;

    3.3 示例3:更复杂的策略

    • 一个电商网站可能需要更复杂的策略:
    Content-Security-Policy: 
  default-src 'none';
  script-src 'self' https://ajax.googleapis.com https://cdnjs.cloudflare.com 'unsafe-inline' 'unsafe-eval';
  style-src 'self' https://fonts.googleapis.com 'unsafe-inline';
  img-src 'self' https://*.amazonaws.com data:;
  font-src 'self' https://fonts.gstatic.com;
  connect-src 'self' https://api.example.com;
  frame-src 'self' https://checkout.stripe.com;
  media-src 'self' https://videos.example.com;
  object-src 'none';

    四 CSP进阶概念

    4.1 非ce与哈希值

    • 为了在保持安全性的同时允许特定的内联脚本或样式,CSP提供了两种机制:
    1. nonce(一次性数字)
      <script nonce="EDNnf03nceIOfn39fn3e9h3sdfa">
  // 只有nonce匹配的脚本才会执行
script>
    • 对应的CSP头:
      Content-Security-Policy: script-src 'nonce-EDNnf03nceIOfn39fn3e9h3sdfa'
    1. 哈希值
      计算脚本内容的SHA256哈希:
      // 假设脚本内容是:alert('Hello, world.');
// 计算其SHA256哈希得到:qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng=
      对应的CSP头:
      Content-Security-Policy: script-src 'sha256-qznLcsROx4GACP2dm0UCKCzCG+HiZ1guq6ZZDob/Tng='

    4.2 报告机制

    • CSP提供了报告功能,可以收集策略违规行为而不实际阻止它们:
    1. 仅报告模式(使用Content-Security-Policy-Report-Only头):
      Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint
    2. 强制执行+报告模式
      Content-Security-Policy: default-src 'self'; report-uri /csp-report-endpoint

    报告端点会收到类似以下的JSON数据:

    {
  "csp-report": {
    "document-uri": "https://example.com/page.html",
    "referrer": "https://example.com/",
    "violated-directive": "script-src 'self'",
    "effective-directive": "script-src",
    "original-policy": "script-src 'self'; report-uri /csp-report-endpoint",
    "disposition": "enforce",
    "blocked-uri": "https://malicious.example.com/malicious.js",
    "line-number": 10,
    "column-number": 20,
    "source-file": "https://example.com/page.html",
    "status-code": 200,
    "script-sample": "alert('XSS Attack!');"
  }
}

    五 CSP案例

    5.1 案例1:防止XSS攻击

    问题场景:一个博客网站允许用户评论,但没有适当过滤输入,导致攻击者可以注入:

    <script>stealCookies();script>

    CSP解决方案

    Content-Security-Policy: 
  default-src 'self';
  script-src 'self';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data:;
    • 即使攻击者成功注入了恶意脚本,由于CSP禁止内联脚本执行,攻击将失败。

    5.2 案例2:第三方集成

    问题场景
    一个电商网站需要集成:Stripe支付iframe、Google Analytics、来自CDN的jQuery和Bootstrap
    CSP解决方案

    Content-Security-Policy: 
  default-src 'self';
  script-src 'self' https://ajax.googleapis.com https://cdnjs.cloudflare.com 'unsafe-eval';
  style-src 'self' https://cdnjs.cloudflare.com 'unsafe-inline';
  img-src 'self' https://*.stripe.com data:;
  connect-src 'self' https://api.stripe.com https://www.google-analytics.com;
  frame-src 'self' https://checkout.stripe.com;

    5.3 案例3:渐进式采用CSP

    • 对于已有的大型网站,直接实施严格的CSP可能会破坏现有功能。可以采用渐进式方法:
    1. 首先使用报告模式
      Content-Security-Policy-Report-Only: default-src 'self'; report-uri /csp-report-endpoint
    2. 分析报告并调整策略
      • 识别哪些资源被阻止
      • 确定这些资源是否必要
      • 将合法的来源添加到白名单
    3. 逐步实施更严格的策略
      Content-Security-Policy: 
  default-src 'none';
  script-src 'self' 'nonce-{random}' 'strict-dynamic';
  style-src 'self' 'unsafe-inline';
  img-src 'self' data:;
  font-src 'self';
  connect-src 'self';
  frame-src 'none';
  report-uri /csp-report-endpoint

    六 CSP的局限性

    虽然CSP是强大的安全工具,但也有其局限性:

    1. 浏览器兼容性:虽然现代浏览器都支持CSP,但实现细节可能有所不同
    2. 配置复杂性:对于大型网站,制定和维护CSP策略可能很复杂
    3. 性能影响:浏览器需要解析和执行策略,可能对性能有轻微影响
    4. 误报问题:过于严格的策略可能阻止合法功能

    七 总结

    • 内容安全策略是现代Web应用安全的重要组成部分。正确配置CSP,开发者可以显著降低XSS等前端攻击的风险。
    • 记住,没有"一刀切"的完美CSP策略,每个应用都需要根据其特定需求和安全考虑来定制策略。通过持续学习和实践,你将能够为你的Web应用构建强大的安全防线。

    你可能感兴趣的:(网络安全,网络安全,web安全)

    • 【数据分析】抓包工具的定义常见类型分类使用场景及注意事项
      抓包工具的定义常见类型分类使用场景及注意事项-CSDN直播抓包工具的定义常见类型分类使用场景及注意事项抓包工具的定义常见类型分类使用场景及注意事项抓包工具概述抓包工具顾名思义是一种用于捕获并分析网络数据包的软件或硬件工具它能够在数据传输过程中截取并记录网络流量让用户能够深入理解并排查网络问题这类工具的用途广泛从网络安全测试到应用程序调试都离不开抓包工具的帮助在众多的抓包工具中WiresharkFi
    • 《跨域资源共享CORS的深层逻辑与前端实践精要》
      不同源头的资源交互已成为常态,而跨域资源共享(CORS)正是支撑这种交互的隐形架构。现代Web安全体系中平衡开放与防护的精妙设计。理解CORS的深层逻辑,不仅能解决实际开发中的跨域难题,更能触及网络安全与资源流通的核心矛盾,为前端工程师构建稳健的应用提供底层认知支撑。跨域资源共享的诞生,源于网络安全与应用发展的必然冲突。浏览器的同源策略,作为早期网络安全的基石,通过限制不同源文档的交互,有效阻挡了
    • 中国顶级黑客名单 2501_92914741 facebooktwitterpaddle微信开放平台
      网名:KING真实名字:谭绪武OICQ:1576172简介:原中国黑客联盟站长,2001年中]=美黑客大战领军人物之一,中国第1代黑客之一,中国最早期黑客组织中国黑客联盟的创始人,中国黑客界泰斗级元老,中国传奇黑客。网名:sunx真实姓名:孙华OICQ:239670简介:资深网络安全专家、软件设计师、Unix专家,在黑客、病毒等技术上均具有顶尖级水平,对系统内核研究有很高的造诣,程序反编译、跟踪、
    • Centos7防火墙 会飞的灰大狼 Centos7linux
      Centos7防火墙前言:本来想在系统那里去说防火墙但防火墙要说的要很多使用单独做一章文章去讲防火墙~~‍在CentOS7中,防火墙是保障系统网络安全的核心组件,默认采用firewalld作为防火墙管理工具(替代了CentOS6的iptables服务),底层仍基于iptables内核模块实现规则控制。‍iptablesiptables命令的完整格式较为复杂,其核心结构由命令选项、表(table)、
    • 网络安全架构与网络拓扑的深度解析 火箭统 网络安全攻击面减少网络架构网络拓扑数据包转发
      背景简介网络安全是当前信息时代的核心挑战之一,随着网络技术的快速发展,攻击手段也日益多样化。本篇博客文章基于提供的书籍章节内容,深入分析网络安全中的攻击面减少策略、网络架构的设计与管理,以及不同网络拓扑的特点,旨在为读者提供一个全面的网络安全知识框架。攻击面减少攻击面是指一个系统或软件暴露给潜在攻击者的全部潜在入口点。减少攻击面是提高网络安全的有效手段之一。通过减少运行的代码量、限制未受信任用户的
    • 网络安全第14集 不灭锦鲤 web安全安全
      前言:小迪安全14集,这集重点内容:0、什么是js渗透测试?在javascript中也存在变量和函数,存在可控变量和函数就有可能存在在漏洞,js开发的web应用和php、java开发的区别是,js能看得到的源代码,php看不到,但是风险就是未授权访问、配置信息泄露(加密算法、key秘钥等),源代码看得到,存在更多的url泄露,从而可能会出现未授权访问,从url,前提:web应用可以采用前端语言或后
    • 与网络安全相比,为什么只会Python很难找到工作? 程序员羊羊 网安工程师网络安全黑客web安全python安全数据库网络开发语言学习
      前言作为一门广泛应用的编程语言,Python在众多领域中都有着不可忽视的地位。然而,对于那些寻求就业的程序员来说,仅仅掌握Python可能并不足以让他们轻松地找到一份理想的工作。本文将深入探讨为什么只会Python很难找到工作,以及分析在职程序员在Python岗位上可能会遇到的一些情况。一、Python的优势与局限性Python的优势Python作为一种高级编程语言,具有简洁、易读、易于学习等特点
    • 网络安全三要素 岁月静好2025 安全
      网络安全三要素1.保密性信息的保密性(Confidentiality)是网络安全的核心概念之一,它指的是确保信息只能被授权的用户访问,防止数据泄露给未授权的个人、系统或过程2。1.1保密性的核心含义限制访问:只有经过授权的用户才能查看或使用敏感信息。防止泄露:避免信息在传输、存储或处理过程中被窃取或监听。保护隐私:确保个人、企业或国家的隐私数据不被非法获取。1.3实现保密性的常见技术技术手段作用说
    • 代码审计与web安全选择题1 m0_74726609 代码审计网络安全
      软件供应链安全的基础是()A.完善的需求分析B.源代码安全C.渗透测试D.软件测试参考答案:B保证源代码安全的主要措施包括()A.开发工具和环境的安全B.代码安全C.渗透测试D.代码审计E.软件的说明文档完整参考答案:ABCD通过()技术,实现源代码在终端、网络及服务器存储场景下全周期的安全管理,防止内部代码有意、无意泄露、扩散出去。A.数据加B.数据脱C.数据安全隔离D.防火墙参考答案:C软件供
    • 运维-资产梳理
      资产梳理一、明确目标与范围1.1、确定梳理目的网络安全:缩小攻击面、识别风险点。资源配置:优化资源利用率、降低成本。合规要求:满足法律法规或行业标准(如等保、ISO27001)。1.2、界定资产范围物理资产:服务器、网络设备、终端设备、IoT设备等。数字资产:操作系统、数据库、应用程序、域名、IP地址、云资源、容器/K8s集群、SaaS应用。数据资产:敏感数据(如客户信息、财务数据)、业务数据、备
    • AI+MCP智能研判系统架构
      AI+MCP智能研判系统架构1.系统概述1.1核心理念AI+MCP智能研判系统是一个创新的网络安全分析平台,通过将大语言模型(LLM)的智能理解能力与MCP(ModelContextProtocol)协议的标准化工具调用能力相结合,实现了"自然语言提问→AI智能理解→MCP工具调用→AI深度研判→智能结果输出"的完整闭环。1.2技术创新点智能意图识别:基于LLM的自然语言理解,自动解析用户查询意图
    • AI驱动的安全自动化响应架构设计 TechVision大咖圈 架构设计合集人工智能人工智能安全自动化安全架构架构设计
      作者寄语:在这个数字化转型的时代,安全不再是"事后诸葛亮",而应该是"未卜先知"。希望这套架构设计能为你的安全建设提供一些启发和参考。如果你有任何问题或想法,欢迎一起交流探讨!文章目录1.引言:当AI遇上网络安全传统安全响应的痛点AI自动化的必要性2.架构设计核心理念设计原则关键能力要求3.系统架构全景图整体架构概览核心组件介绍4.数据处理与威胁检测层数据采集引擎AI检测算法5.智能决策与响应层决
    • 【网络安全】DDOS攻击 第十六年盛夏. 网安web安全ddos安全
      如果文章不足还请各位师傅批评指正!你有没有过这种经历:双11抢券时页面卡成幻灯片,游戏团战突然全员掉线,刷视频时进度条永远转圈圈?除了“网渣”,可能还有个更糟的原因——你正被DDoS攻击“堵门”了!今天用3分钟讲透:什么是DDoS?它和其他攻击有啥区别?怎么发现?怎么防?先看个“生活化栗子”:什么是DDoS攻击?想象你常去的奶茶店,平时10个顾客能轻松接待。突然某天,来了1000个“假顾客”——他
    • 网络安全基础知识【4】
      DNS的主要作用DNS服务器可以为客户机提供“域名与IP地址”的地址解析服务简述DNS正向反向的含义正向:根据域名查找IP地址反向:根据IP地址查找域名简述常见的DNS资源记录类型,并描述各自的含义A:正向解析PTR:反向解析(将IP地址映射为域名)CNAME:别名解析DNS域名解析查询方式的分类1、递归查询2、迭代查询DHCP的作用可以给终端联网设备分配网络参数DHCP有哪些角色1、DHCP服务
    • Qt 网络编程进阶:网络安全与加密 编程与实战 Qt一站式学习qt网络web安全c++c语言
      在当今数字化时代,网络安全已成为软件开发中不可忽视的关键环节。Qt作为一款强大的跨平台应用开发框架,提供了全面的网络安全与加密功能,帮助开发者构建安全可靠的网络应用。本文将深入探讨Qt网络编程中的安全与加密技术,包括SSL/TLS通信、数据加密、证书管理、安全认证等方面的核心知识与实践经验。一、SSL/TLS基础配置1.启用HTTPS通信#include#include#include#inclu
    • 网站渗透测试完全手册:零基础到进阶,系统学习网络安全攻防
      渗透测试介绍渗透测试就是模拟攻击者入侵系统,对系统进行一步步地渗透,发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固,提升系统的安全性,防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试,就是违法行为!渗透测试意义信息安全评估的重要方法,有利于掌握系统整体安全强度。模拟黑客攻击和思维,评估计算机潜在风险。发
    • 2025年网络安全工程师转行指南:必备技能与入行路径
      对于提出这个问题的小伙伴来讲,首先,已经明确了是要转行的,并且是清晰了网络安全行业,对于目标感非常强的转行小伙伴来讲,知了姐分别从个人条件、行业、学习方法等三个层面来提供关于“转行人员想做网络安全工程师有哪些要求?”。1、个人学习条件个人学习条件主要关注以下三个方面:专业、学历、年龄。网络安全因目前行业发展非常快速,企业用人需求也非常大,企业对于学历没有太多硬性要求,学历专科/本科都可以,但如果是
    • WEB安全--Java安全--jsp webshell免杀
      1.1、BCELClassLoader介绍(仅适用于BCEL6.0以下):BCEL(ApacheCommonsBCEL™)是一个用于分析、创建和操纵Java类文件的工具库;BCEL的类加载器在解析类名时会对ClassName中有BCEL标识的类做特殊处理,该特性经常被用于编写各类攻击Payload。当BCEL的loadClass加载一个类名中带有BCEL$$”的类时会截取出BCEL后面的字符串,然
    • 网信安全丨十个方面100个网络安全相关知识点,快来学习! 从零基础到精通,收藏这篇就够了! 七七Seven~ web安全安全学习服务器机器学习网络
      网络安全风险无处不在,现梳理了100个网络安全相关的小知识,希望能进一步提升大家的安全意识,帮助大家建立更加安全的网络环境。一、账号密码安全1.如果有初始密码,应尽快修改。2.密码长度不少于8个字符。3.不要使用单一的字符类型,例如只用小写字母,或只用数字。4.用户名与密码不要使用相同字符。5.常见的弱口令尽量避免设置为密码。6.自己、家人、朋友、亲戚、宠物的名字避免设置为密码。7.生日、结婚纪念
    • 【超长爽文】网络安全从业者面试指南(非常详细)从零基础入门到精通,收藏这篇就够了 黑客阿伦 web安全开发语言网络安全网络安全计算机网络
      文章为笔者偶然看到的github项目《网络安全面试指南》,作者FeeiCN,读完内容深感作者的用心,尽管一些观点因为时间原因与当下行情存在差异,但仍旧值得大家参考,希望能给大家在这行业寒冬带来一些启发,愿正在找工作的朋友一切顺利。多年来筛选了数以千记的简历,为何很多人连面试的机会都没有?参与了数以百记的应聘者的面试,为何如此多的人没有通过最终面试?能力当然是最重要的,可我却见过很多能力不比已经入职
    • 【网络安全】Metasploit 生成的 Shellcode 的导入函数解析以及执行流程分析(1) IT老涵 程序员安全网络网络安全信息安全计算机网络
      2021年4月,研究人员深入分析了CobaltStrike渗透测试技术,以及它的一些签名规避技术是如何在检测技术下失效的。在本文中,我们将深入讨论Metasploit,这是一个可以与CobaltStrike互操作的常用框架。在本文中,我们将讨论以下主题:shellcode的导入解析——Metasploitshellcode如何定位来自其他DLL的函数,以及我们如何预先计算这些值来解析来自其他有效载
    • 泷羽sec专题课笔记-- Linux作业--开机自启动方法以及破解 grrrr_1 笔记web安全网络
      本笔记为泷羽sec《红队全栈课程》学习笔记,课程请可自行前往B站学习,课程/笔记主要涉及网络安全相关知识、系统以及工具的介绍等,请使用该课程、本笔记以及课程和笔记中提及工具的读者,遵守网络安全相关法律法规,切勿进行违法违规违纪的操作。写在最前面的话,我们为什么要学习网络安全这门技术:维护国家安全防范网络攻击:网络安全威胁已成为国家安全的重要挑战。学习网络安全有助于识别和防范来自国内外的网络攻击,防
    • sudo rm -rf /* → sudo jail -t 3650:当Linux命令遇上《个人信息保护法》 Akins2025 linuxpythonc++
      尊敬的审核:本人文章《sudorm-rf/*→sudojail-t3650:当Linux命令遇上〈个人信息保护法〉》1.纯属技术交流,无任何违法内容2.所有法律引用均来自公开条文3.请依据《网络安全法》第12条“不得无故删除合法内容”处理附:本文结构已通过区块链存证【著作权声明】•2025年7月21日19:08前所有文章已通过CSDN实名认证追溯•合规技术交叉内容已申请存证(区块链时间戳)•侵权必
    • 《网络安全审查办法》极客生存指北(赛博朋克版):怎么在数据洪流中优雅地狗住
      尊敬的审核:本人文章《〈网络安全审查办法〉极客生存指北(赛博朋克版):怎么在数据洪流中优雅地狗住》1.纯属技术交流,无任何违法内容2.所有法律引用均来自公开条文3.请依据《网络安全法》第12条“不得无故删除合法内容”处理附:本文结构已通过区块链存证【著作权声明】•2025年7月21日19:08前所有文章已通过CSDN实名认证追溯•法律技术交叉内容已申请存证(区块链时间戳)•侵权必究(参考《刑法》第
    • (路过一下……)如何用Clang助攻码农兄弟打赢爱情保卫战 Akins2025 c++
      尊敬的审核:本人文章《(路过一下……)如何用Clang助攻码农兄弟打赢爱情保卫战》1.纯属技术交流,无任何违法内容2.所有法律引用均来自公开条文3.请依据《网络安全法》第12条“不得无故删除合法内容”处理附:本文已存证(副标题:当gcc-O2遇到《民法典》第1079条)一、核心技术:婚姻法LLVM前端cpp//爱情矛盾诊断系统if(wife.anger>0x7FFFFFFF){clang-emit
    • 《职工带薪年假条例》硅基奴隶解放工具.jar——程序猿的第一课应该是学会休息 Akins2025 c++pythonbashjava
      尊敬的审核:本人文章《〈职工带薪年假条例〉硅基奴隶解放工具.jar——程序猿的第一课应该是学会休息》1.纯属技术交流,无任何违法内容2.所有法律引用均来自公开条文3.请依据《网络安全法》第12条“不得无故删除合法内容”处理附:本文结构已通过区块链存证java/***《职工带薪年假条例》V2025.7.27程序猿特供版*编译环境:JDK1.8(因为公司还没升级)*依赖包:*importjava.ut
    • 网络安全-网络安全智能体所有详细工作原理和架构及案例
      大家读完觉得有帮助记得关注和点赞!!!网络安全智能体(AISecurityAgent)是人工智能与网络安全融合的新范式,通过自主感知、分析决策、联动响应实现动态防护,正在重构传统“人防为主”的安全体系。以下从工作原理、架构设计、行业案例三方面进行深度解析:一、工作原理:三层认知闭环与动态进化1.核心能力分层(L1-L5标准)等级能力特征代表产品L1基础辅助型单步推理,处理预定义任务(如告警初判)9
    • 26、网络安全与故障排查:OpenVPN与iptables的综合应用 y7z8a9 网络安全iptables
      网络安全与故障排查:OpenVPN与iptables的综合应用1.OpenVPN安全与配置1.1OpenVPN服务器加固OpenVPN服务器是网络的入口,因此加固服务器并保护其免受攻击至关重要。可以采取以下步骤来加固服务器:-安装操作系统的最小服务器版本,不安装任何不必要的软件。-禁用所有不必要的服务。-仅保留系统中必要的用户。-撤销不再需要访问权限的用户的证书(如清单9-8所示)。-使用双因素认
    • 零基础学后端-PHP语言(第二期-PHP基础语法)(通过php内置服务器运行php文件) 恰薯条的屑海鸥 php零基础学习php开发语言后端php入门php服务器php文件运行
      经过上期的配置,我们已经有了php的开发环境,编辑器我们继续使用VScode,如果是新来的朋友可以看这期文章来配置VScode零基础学前端-传统前端开发(第一期-开发软件介绍与本系列目标)(VScode安装教程)_vscode启动前端详细步骤-CSDN博客(本系列不过多介绍php的vscode插件,没有插件也是可以用的,只是打代码的速度慢一点)接下来我们来了解php的语法看过我之前网络安全-皮卡丘
    • 从零起步:30岁转行网络安全的实战指南 程序员罗知知 web安全网络安全sql数据库apache零基础
      从零起步:30岁转行网络安全的实战指南当你决定在30岁转行进入网络安全领域,那感觉就像突然跳进了深不见底的大海,既兴奋又有点怕水。但别担心,这条路上并不孤单。下面,咱就聊聊怎么一步步走向成功。转型之初的迷茫与方向认清自我是第一步。得知道自己到底对哪块感兴趣,是想搞渗透测试,还是更喜欢安全开发?比如我对Linux和编程特别着迷,于是选择了渗透测试作为切入点。接着就是学习资源的选择。网络上信息多得让人
    • Java序列化进阶篇 g21121 java序列化
              1.transient         类一旦实现了Serializable 接口即被声明为可序列化,然而某些情况下并不是所有的属性都需要序列化,想要人为的去阻止这些属性被序列化,就需要用到transient 关键字。
    • escape()、encodeURI()、encodeURIComponent()区别详解 aigo JavaScriptWeb
      原文:http://blog.sina.com.cn/s/blog_4586764e0101khi0.html   JavaScript中有三个可以对字符串编码的函数,分别是: escape,encodeURI,encodeURIComponent,相应3个解码函数:,decodeURI,decodeURIComponent 。 下面简单介绍一下它们的区别 1 escape()函
    • ArcgisEngine实现对地图的放大、缩小和平移 Cb123456 添加矢量数据对地图的放大、缩小和平移Engine
      ArcgisEngine实现对地图的放大、缩小和平移:  个人觉得是平移,不过网上的都是漫游,通俗的说就是把一个地图对象从一边拉到另一边而已。就看人说话吧.  具体实现: 一、引入命名空间    using ESRI.ArcGIS.Geometry;    using ESRI.ArcGIS.Controls; 二、代码实现.
    • Java集合框架概述 天子之骄 Java集合框架概述
         集合框架 集合框架可以理解为一个容器,该容器主要指映射(map)、集合(set)、数组(array)和列表(list)等抽象数据结构。 从本质上来说,Java集合框架的主要组成是用来操作对象的接口。不同接口描述不同的数据类型。   简单介绍:   Collection接口是最基本的接口,它定义了List和Set,List又定义了LinkLi
    • 旗正4.0页面跳转传值问题 何必如此 javajsp
      跳转和成功提示 a)        成功字段非空forward 成功字段非空forward,不会弹出成功字段,为jsp转发,页面能超链接传值,传输变量时需要拼接。接拼接方式list.jsp?test="+strweightUnit+"或list.jsp?test="+weightUnit+&qu
    • 全网唯一:移动互联网服务器端开发课程 cocos2d-x小菜 web开发移动开发移动端开发移动互联程序员
          移动互联网时代来了!     App市场爆发式增长为Web开发程序员带来新一轮机遇,近两年新增创业者,几乎全部选择了移动互联网项目!传统互联网企业中超过98%的门户网站已经或者正在从单一的网站入口转向PC、手机、Pad、智能电视等多端全平台兼容体系。据统计,AppStore中超过85%的App项目都选择了PHP作为后端程
    • Log4J通用配置|注意问题 笔记 7454103 DAOapachetomcatlog4jWeb
      关于日志的等级 那些去 百度就知道了! 这几天 要搭个新框架  配置了 日志 记下来 !做个备忘! #这里定义能显示到的最低级别,若定义到INFO级别,则看不到DEBUG级别的信息了~! log4j.rootLogger=INFO,allLog # DAO层 log记录到dao.log 控制台 和 总日志文件 log4j.logger.DAO=INFO,dao,C
    • SQLServer TCP/IP 连接失败问题 ---SQL Server Configuration Manager darkranger sqlcwindowsSQL ServerXP
      当你安装完之后,连接数据库的时候可能会发现你的TCP/IP 没有启动.. 发现需要启动客户端协议 : TCP/IP  需要打开 SQL Server Configuration Manager... 却发现无法打开 SQL Server Configuration Manager..?? 解决方法:  C:\WINDOWS\system32目录搜索framedyn.
    • [置顶] 做有中国特色的程序员 aijuans 程序员
      从出版业说起 网络作品排到靠前的,都不会太难看,一般人不爱看某部作品也是因为不喜欢这个类型,而此人也不会全不喜欢这些网络作品。究其原因,是因为网络作品都是让人先白看的,看的好了才出了头。而纸质作品就不一定了,排行榜靠前的,有好作品,也有垃圾。 许多大牛都是写了博客,后来出了书。这些书也都不次,可能有人让为不好,是因为技术书不像小说,小说在读故事,技术书是在学知识或温习知识,有些技术书读得可
    • document.domain 跨域问题 avords document
      document.domain用来得到当前网页的域名。比如在地址栏里输入:javascript:alert(document.domain); //www.315ta.com我们也可以给document.domain属性赋值,不过是有限制的,你只能赋成当前的域名或者基础域名。比如:javascript:alert(document.domain = "315ta.com");
    • 关于管理软件的一些思考 houxinyou 管理
      工作好多看年了,一直在做管理软件,不知道是我最开始做的时候产生了一些惯性的思维,还是现在接触的管理软件水平有所下降.换过好多年公司,越来越感觉现在的管理软件做的越来越乱. 在我看来,管理软件不论是以前的结构化编程,还是现在的面向对象编程,不管是CS模式,还是BS模式.模块的划分是很重要的.当然,模块的划分有很多种方式.我只是以我自己的划分方式来说一下. 做为管理软件,就像现在讲究MVC这
    • NoSQL数据库之Redis数据库管理(String类型和hash类型) bijian1013 redis数据库NoSQL
      一.Redis的数据类型 1.String类型及操作         String是最简单的类型,一个key对应一个value,string类型是二进制安全的。Redis的string可以包含任何数据,比如jpg图片或者序列化的对象。         Set方法:设置key对应的值为string类型的value
    • Tomcat 一些技巧 征客丶 javatomcatdos
      以下操作都是在windows 环境下 一、Tomcat 启动时配置 JAVA_HOME 在 tomcat 安装目录,bin 文件夹下的 catalina.bat 或 setclasspath.bat 中添加 set JAVA_HOME=JAVA 安装目录 set JRE_HOME=JAVA 安装目录/jre 即可; 二、查看Tomcat 版本 在 tomcat 安装目
    • 【Spark七十二】Spark的日志配置 bit1129 spark
      在测试Spark Streaming时,大量的日志显示到控制台,影响了Spark Streaming程序代码的输出结果的查看(代码中通过println将输出打印到控制台上),可以通过修改Spark的日志配置的方式,不让Spark Streaming把它的日志显示在console   在Spark的conf目录下,把log4j.properties.template修改为log4j.p
    • Haskell版冒泡排序 bookjovi 冒泡排序haskell
      面试的时候问的比较多的算法题要么是binary search,要么是冒泡排序,真的不想用写C写冒泡排序了,贴上个Haskell版的,思维简单,代码简单,下次谁要是再要我用C写冒泡排序,直接上个haskell版的,让他自己去理解吧。     sort [] = [] sort [x] = [x] sort (x:x1:xs) | x>x1 = x1:so
    • java 路径 配置文件读取 bro_feng java
      这几天做一个项目,关于路径做如下笔记,有需要供参考。 取工程内的文件,一般都要用相对路径,这个自然不用多说。 在src统计目录建配置文件目录res,在res中放入配置文件。 读取文件使用方式: 1. MyTest.class.getResourceAsStream("/res/xx.properties") 2. properties.load(MyTest.
    • 读《研磨设计模式》-代码笔记-简单工厂模式 bylijinnan java设计模式
      声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ package design.pattern; /* * 个人理解:简单工厂模式就是IOC; * 客户端要用到某一对象,本来是由客户创建的,现在改成由工厂创建,客户直接取就好了 */ interface IProduct {
    • SVN与JIRA的关联 chenyu19891124 SVN
      SVN与JIRA的关联一直都没能装成功,今天凝聚心思花了一天时间整合好了。下面是自己整理的步骤: 一、搭建好SVN环境,尤其是要把SVN的服务注册成系统服务 二、装好JIRA,自己用是jira-4.3.4破解版 三、下载SVN与JIRA的插件并解压,然后拷贝插件包下lib包里的三个jar,放到Atlassian\JIRA 4.3.4\atlassian-jira\WEB-INF\lib下,再
    • JWFDv0.96 最新设计思路 comsci 数据结构算法工作企业应用公告
                         随着工作流技术的发展,工作流产品的应用范围也不断的在扩展,开始进入了像金融行业(我已经看到国有四大商业银行的工作流产品招标公告了),实时生产控制和其它比较重要的工程领域,而
    • vi 保存复制内容格式粘贴 daizj vi粘贴复制保存原格式不变形
          vi是linux中非常好用的文本编辑工具,功能强大无比,但对于复制带有缩进格式的内容时,粘贴的时候内容错位很严重,不会按照复制时的格式排版,vi能不能在粘贴时,按复制进的格式进行粘贴呢? 答案是肯定的,vi有一个很强大的命令可以实现此功能 。     在命令模式输入:set paste,则进入paste模式,这样再进行粘贴时
    • shell脚本运行时报错误:/bin/bash^M: bad interpreter 的解决办法 dongwei_6688 shell脚本
      出现原因:windows上写的脚本,直接拷贝到linux系统上运行由于格式不兼容导致 解决办法: 1. 比如文件名为myshell.sh,vim myshell.sh 2. 执行vim中的命令 : set ff?查看文件格式,如果显示fileformat=dos,证明文件格式有问题 3. 执行vim中的命令 :set fileformat=unix 将文件格式改过来就可以了,然后:w
    • 高一上学期难记忆单词 dcj3sjt126com wordenglish
      honest 诚实的;正直的 argue 争论 classical 古典的 hammer 锤子 share  分享;共有 sorrow 悲哀;悲痛 adventure 冒险 error 错误;差错 closet 壁橱;储藏室 pronounce 发音;宣告 repeat 重做;重复 majority 大多数;大半   native 本国的,本地的,本国
    • hibernate查询返回DTO对象,DTO封装了多个pojo对象的属性 frankco POJOhibernate查询DTO
            DTO-数据传输对象;pojo-最纯粹的java对象与数据库中的表一一对应。       简单讲:DTO起到业务数据的传递作用,pojo则与持久层数据库打交道。         有时候我们需要查询返回DTO对象,因为DTO
    • Partition List hcx2013 partition
      Given a linked list and a value x, partition it such that all nodes less than x come before nodes greater than or equal to x. You should preserve the original relative order of th
    • Spring MVC测试框架详解——客户端测试 jinnianshilongnian
      上一篇《Spring MVC测试框架详解——服务端测试》已经介绍了服务端测试,接下来再看看如果测试Rest客户端,对于客户端测试以前经常使用的方法是启动一个内嵌的jetty/tomcat容器,然后发送真实的请求到相应的控制器;这种方式的缺点就是速度慢;自Spring 3.2开始提供了对RestTemplate的模拟服务器测试方式,也就是说使用RestTemplate测试时无须启动服务器,而是模拟一
    • 关于推荐个人观点 liyonghui160com 推荐系统关于推荐个人观点
          回想起来,我也做推荐了3年多了,最近公司做了调整招聘了很多算法工程师,以为需要多么高大上的算法才能搭建起来的,从实践中走过来,我只想说【不是这样的】     第一次接触推荐系统是在四年前入职的时候,那时候,机器学习和大数据都是没有的概念,什么大数据处理开源软件根本不存在,我们用多台计算机web程序记录用户行为,用.net的w
    • 不间断旋转的动画 pangyulei 动画
      CABasicAnimation* rotationAnimation; rotationAnimation = [CABasicAnimation animationWithKeyPath:@"transform.rotation.z"]; rotationAnimation.toValue = [NSNumber numberWithFloat: M
    • 自定义annotation sha1064616837 javaenumannotationreflect
      对象有的属性在页面上可编辑,有的属性在页面只可读,以前都是我们在页面上写死的,时间一久有时候会混乱,此处通过自定义annotation在类属性中定义。越来越发现Java的Annotation真心很强大,可以帮我们省去很多代码,让代码看上去简洁。 下面这个例子 主要用到了 1.自定义annotation:@interface,以及几个配合着自定义注解使用的几个注解 2.简单的反射 3.枚举
    • Spring 源码 up2pu spring
      1.Spring源代码 https://github.com/SpringSource/spring-framework/branches/3.2.x 注:兼容svn检出 2.运行脚本 import-into-eclipse.bat 注:需要设置JAVA_HOME为jdk 1.7 build.gradle compileJava { sourceCompatibilit
    • 利用word分词来计算文本相似度 yangshangchuan wordword分词文本相似度余弦相似度简单共有词
      word分词提供了多种文本相似度计算方式: 方式一:余弦相似度,通过计算两个向量的夹角余弦值来评估他们的相似度 实现类:org.apdplat.word.analysis.CosineTextSimilarity 用法如下: String text1 = "我爱购物"; String text2 = "我爱读书"; String text3 =