本文同步自我的博客园:http://hustskyking.cnblogs.com
该文章是本人两天的学习笔记,共享出来,跟大家交流。知识比较零散,但是对有一定 JS 基础的人来说,每个小知识都有助于开阔你的 Hack 视角。首先声明,本文只是 XSS 攻击的冰山一角,读者自行深入研究。
一、XSS学习提要
http://qdemo.sinaapp.com/ppt/xss/ 三水清
http://drops.wooyun.org/tips/689 乌云
http://www.wooyun.org/whitehats/心伤的瘦子
http://ha.ckers.org/xss.html
http://html5sec.org/
http://www.80sec.com/
二、XSS攻击要点
注意:这些插入和修改都是为了避开浏览器自身的过滤,或者开发者认为的过滤。
1. document.write innerHTML eval setTimeout/setInterval等等都是很多XSS攻击注入的入口。
2. html实体编码
> "alert("Barret李靖")".replace(/./g, function(s){
return "&#" + s.charCodeAt(0)
/*.toString(16) 转换成16进制也可以滴*/
+ ";"
});
> "alert(1)"
3. 如果过滤 html 实体编码,可以改成URL编码
> encodeURIComponent("&#")
> "%26%23"
4. 利用 HTML5 新增字符
: 冒号
换行
XSS
5. JS进制转换
> "\74\163\143\162\151\160\164\76\141\154\145\162\164\50\61\51\74\57\163\143\162\151\160\164\76"
> ""
6. Base64转换
> base64("");
> PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==
XSS
7. 浏览器解析非严格性
①中可插入 NUL字符(0x00)
位置 | 代码 | 可能插入或替代的代码
------------|--------------------------|-----------------------
<的右边 | <[here]a href="... | 控制符,空白符,非打印字符
a标签的后门 | | 其他引号
>之前 | | 任意字符
/之前 | ...<[here]/a>| 空白符,控制符
/之后 | ...| 空白符,控制符
>闭合之前 | … | 所有字符
8. 斜杠
在字符串中斜杠(/)可以用于转义字符,比如转义 " 和 ' ,双斜杠(//)可以用来注释。这样可以很轻松的改变之前的语句,注入内容。
9. 空格的处理方式
在解析的时候空格被转移成 ,注入的时候可以使用 /**/来替换。
10. 特殊属性
1)srcdoc属性(chrome有效)
2)autofoucus
3)object
11.绕过浏览器过滤(crhome)
?t=">原理:cb这么长的一串作为函数名,然后你就懂啦~ 本方式只针对上面有缺陷的代码。
6. 提前闭合双引号
7. 阻止编码
?t=;alert("Barret李靖")
上面可以看到 ";" 被编码了,观察页面编码:
gbxxx系列编码,可以尝试宽字节:
?t=%c0%22alert("Barret李靖")
8. 攻击单行注释
URL对应的param中添加换行符(%0a)或者其他换行符。
?t=%0aalert("Barret李靖")//
// init('id', "%0aalert("Barret李靖")//");
被解析成
// init('id', "
alert("Barret李靖")//");
9. url
url中可以使用很多协议 http:// https:// javascript: vbscript: data:等等,利用这些属性,可以找到很多的空隙。
">XSS
10. Flash跨域注入
这个我不太熟悉,现在网页上Flash用的越来越少了,懒得继续看了。
11. 利用事件
12. 利用标签
四、XSS攻击实质
XSS攻击没太多神奇的地方,就是利用浏览器防御不周到或者开发者代码不健壮,悄悄对页面或者服务器进行攻击。
1. 绕过过滤
URL中的 <,在DOM XSS中,可以使用 \u003c (unicode编码)表示,不过他有可能被过滤了,最后解析成<,也可以使用 \x3c (Javascript 16进制编码),> 对应使用 \x3e。这种情况经常在 innerHTML 以及 document.write 中用到。
所谓的过滤包括人工过滤,也包括了浏览器HTML与JavaScript本身的过滤,程序员会在浏览器本身过滤过程中进行一些干扰和修改,这几个流程都给我们提供了很多 xss 攻击的入口。
1) 数据需要过滤,但是未过滤。导致XSS。比如:昵称、个人资料。
2. 利用源码中js的解析
比如第二部分提出的第11点,浏览器的拦截
?t=">
这样的插入会被拦截,当你发现源码中有这么一句话的时候:
function parseURL(){
//...
t.replace("WOW", "");
//..
}
便可以修改如上参数:
?t=">alert("Barret李靖")
直接绕过了chrome浏览器对危险代码的防御。
五、学会XSS攻击
1. 寻找可控参数
攻击入口在哪里?一般是有输入的地方,比如URL、表单、交互等。
含参数的URL中找到参数 value 值的输出点,他可能在html中输入,也可能是在javascript中
实验各种字符(< , > " '等),判断是否被过滤,测试方式,手动输入测试
确定可控范围,是否可以使用unicode编码绕过,是否可以使用HTML编码绕过,是否可以使用Javascript进制编码绕过等等
2. 开始注入
注入细节上面都是,基本的思维模式:
3. 修补注入错误
注入后保证没有语法错误,否则代码不会执行,注入了也没用。这里的意思是,你注入的一个参数可能在脚本多处出现,你可以保证一处没语法错误,但是不能保证处处都正确
4. 开搞
六、XSS分类
为什么留到后面说。XSS也了解了很多次了,每次都是先从概念触发,感觉没啥意思,什么反射性、DOM型、储存型等等,还不如先去实践下,凭着自己对XSS的理解,多看几个网站的源码,找找乐趣。
存储型和反射型相比,只是多了输入存储、输出取出的过程。简单点说:
反射型是:输入--输出;
这样一来,大家应该注意到以下差别:
反射型是:绝大部分情况下,输入在哪里,输出就在哪里。
反射型是:输入大部分位于地址栏或来自DOM的某些属性,也会偶尔有数据在请求中(POST类型)
因而我们找存储型的时候,从一个地方输入数据,需要检测很多输出的点,从而可能会在很多点发现存储型XSS。
七、辅助工具
http://ha.ckers.org/xsscalc.html
chrome插件 (xss Encode,百度之)
抓包工具,fiddler4 chales
白名单过滤工具github/js-xss
八、小结
简单小结:
& 号不应该出现在HTML的大部分节点中。
括号<>是不应该出现在标签内的,除非为引号引用。
在ext节点里面,<左尖括号有很大的危害。
引号在标签内可能有危害,具体危害取决于存在的位置,但是在text节点是没有危害的。
。。。
关注漏洞报告平台 Wooyun,多动脑筋,手动 hack。最重要的还是先黑客再红客。
九、参考资料
http://drops.wooyun.org/tips/689
http://drops.wooyun.org/tips/147
http://www.web-tinker.com/article/20468.html
http://www.wooyun.org/whitehats/心伤的瘦子
https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet
你可能感兴趣的:(hack,xss)
从零开始学习黑客技术,看这一篇就够了
网络安全-旭师兄
学习 web安全 安全 python 密码学
基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包黑客,对于很多人来说,是一个神秘的代名词,加之影视作品夸张的艺术表现,使得黑客这个本来只专注于技术的群体,散发出亦正亦邪的神秘色彩。黑客源自英文hacker一词,最初曾指热心于计算机技术、水平高超的电脑高手,尤其是程序设计人员,逐渐区分为白帽、灰帽、黑帽等。其中,白帽黑客被称为道德黑客。他们不会非法入侵用户网络,而是通过一系列测试检查
MobSF(Mobile Security Framework) 的详细介绍、安装指南、配置说明
程序员的世界你不懂
效率工具提升 新浪微博 测试工具 百度
MobSF:移动应用安全分析的全能框架一、MobSF简介MobSF是一款开源的移动应用安全测试框架,专为Android和iOS应用设计。它集成了静态代码分析、动态调试、恶意软件检测、网络流量分析等功能,适用于渗透测试、漏洞挖掘和安全合规审计。其核心优势包括:跨平台支持:兼容Android/iOS应用(APK/IPA文件及安装包)。自动化分析:快速识别常见漏洞(如SQL注入、XSS、越界访问)。可视
XSS 与 CSRF 攻击你了解多少呢
银之夏雪丶
安全 网络 web安全 前端 javascript react.js
网络安全至关重要,它保护着我们的个人信息和网站的正常运行。XSS和CSRF是两种常见且危险的网络威胁,它常常困扰着我们,而你又了解多少呢?一、XSS攻击深度剖析(一)概念溯源与攻击本质XSS,即跨站脚本攻击,其核心在于攻击者利用网站对用户输入数据处理的漏洞,将恶意脚本注入网页。当其他用户访问该网页时,浏览器会误将这些恶意脚本当作正常网页内容执行,从而沦为攻击者的“傀儡”,实现用户敏感信息窃取、会话
(8/100)每日小游戏平台系列
github_czy
每日小游戏 python flask 游戏引擎 游戏程序
项目地址位于:小游戏导航新增一个打地鼠游戏!打地鼠(Whack-a-Mole)是一款经典的休闲游戏,玩家需要点击随机出现的地鼠,以获取分数。游戏时间有限,玩家需要在规定时间内尽可能多地击中地鼠,获得更高的分数。游戏规则:开始游戏:点击“开始游戏”按钮,游戏将倒计时30秒。游戏目标:点击出现的地鼠,每击中一次得1分。错过地鼠:如果点击空洞时没有地鼠,会显示“Miss!”。游戏结束:当游戏时间结束后,
最新网络安全(黑客)——自学篇
2401_84240189
程序员 web安全 安全
需要的小伙伴关注我,后台自动发送分享链接~第一阶段:基础操作入门,学习基础知识入门的第一步是学习一些当下主流的安全工具课程并配套基础原理的书籍,一般来说这个过程在1个月左右比较合适。在这个阶段,你已经对网络安全有了基本的了解。如果你学完了第一步,相信你已经在理论上明白了上面是sql注入,什么是xss攻击,对burp、msf、cs等安全工具也掌握了基础操作。这个时候最重要的就是开始打地基!所谓的“打
安全面试2
白初&
面试题目总结 面试 职场和发展
文章目录简单描述一下什么是水平越权,什么是垂直越权,我要发现这两类漏洞,那我代码审计要注意什么地方水平越权:垂直越权:水平越权漏洞的审计重点垂直越权漏洞的审计重点解释一下ssrf漏洞原理攻击场景修复方法横向移动提权win权限提升Linux权限提升include和require区别绕waf的常见姿势log4g有哪些混淆绕过的方法文件上传绕过XSS绕过内存马常见实现方式:内存马的特点内存马的检测简单描
从零开始学习黑客技术,看这一篇就够了
网络安全-旭师兄
学习 web安全 python 网络安全 密码学
基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包黑客,对于很多人来说,是一个神秘的代名词,加之影视作品夸张的艺术表现,使得黑客这个本来只专注于技术的群体,散发出亦正亦邪的神秘色彩。黑客源自英文hacker一词,最初曾指热心于计算机技术、水平高超的电脑高手,尤其是程序设计人员,逐渐区分为白帽、灰帽、黑帽等。其中,白帽黑客被称为道德黑客。他们不会非法入侵用户网络,而是通过一系列测试检查
微信小程序实现抽屉Drawer从下方弹出
code_ciwei
微信小程序 小程序
TDesign中的Drawer方向只能设置为左右,于是自己写一个:新建component:drawerdrawer.json:{"component":true}drawer.wxml{{title}}drawer.wxss.container{position:relative;padding:0;}/*遮罩层样式*/.overlay{position:fixed;top:0;left:0;ri
微信小程序-二维码绘制
lvbb66
微信小程序 小程序
wxmlwxss/*pages/QRcode/QRcode.wxss*/.canvas{width:100%;height:-webkit-calc(100%-44px);height:-moz-calc(100%-44px);height:calc(100%-44px);background:#fff;}js//pages/index/index.jsimportQRCodefrom'./wea
[网络安全]XSS之Cookie外带攻击姿势详析
Hacker_LaoYi
web安全 xss 安全
概念XSS的Cookie外带攻击就是一种针对Web应用程序中的XSS(跨站脚本攻击)漏洞进行的攻击,攻击者通过在XSS攻击中注入恶意脚本,从而窃取用户的Cookie信息。攻击者通常会利用已经存在的XSS漏洞,在受害者的浏览器上注入恶意代码,并将受害者的Cookie数据上传到攻击者控制的服务器上,然后攻击者就可以使用该Cookie来冒充受害者,执行一些恶意操作,例如盗取用户的账户信息、发起钓鱼攻击等
hackthebox Busqueda EASY难度 一把梭哈
安河桥北2025
linux bash 运维 安全
自动执行sudo命令,自动给sudo命令输入密码:jh1usoih2bkjaspwe92curl-v-d"engine=Accuweather&query=1'%2bprint(eval(__import__('os').system('tac/home/svc/user.txt;cd/tmp;echo\"#\x21/bin/bash\nchmod%2bs/bin/bash\">full-chec
前端上传富文本内容给后端,后端接收到的内容有缺失。
sanggou
前端 java 开发语言
问题情况今天自测时,发现有个问题,传的富文本的string被阉割了,传参是"text":"cnncbbddbbcv",后端接到的是"text":"cnncbbddbbcv"这后面的去哪了呢,根据排查是因为有yml里有防止xss攻击的相关配置解决方法过滤掉一些接口或者对应的字符串#防止XSS攻击xss:#过滤开关enabled:true#排除链接(在过滤链接中,哪些不需要过滤,可使用*通配符,多个用
【网络安全 | PHP代码审计】YXcms
秋说
web安全 php 漏洞挖掘 代码审计
原创文章,禁止转载。文章目录环境配置1.4.5版本安装1.2.1版本安装代码审计session伪造实现账户接管XSSGetshellXSS漏洞无回显SQL注入默认密钥下的SQL注入SQL显错注入未授权+代码执行任意文件删除1任意文件删除2YXcms是一款基于PHP+MySql开发的网站管理系统,采用轻量级MVC设计模式。环境配置1.4.5版本安装安装地址:https://github.com/cc
【网络安全 | 漏洞挖掘】Zoho 账户接管:一次点击就能完全控制你的Zoho账户
秋说
web安全 漏洞挖掘
未经许可,不得转载。本文涉及的所有漏洞均已修复。文章目录1、DOMXSS2、PostMessage配置错误3、升级至账户接管(ATO)IFRAME读取邮件CORSOTP(一次性密码)XSSPoC->账户接管(ATO)Post-MessagePoC->ATO在这篇文章中,我将讨论我是如何发现DOMXSS和Postmessage配置错误,并利用它们升级为Zoho账户接管的。本文将分为三个部分:DOMX
DVWA指点迷津-XSS(DOM)
肉肉球麻里
网络安全 安全 xss 安全漏洞
DOMBasedXSS特点既可能是反射型,也可能是存储型。利用前端的DOM树来造成XSS攻击。漏洞危害泄露用户的Cooike泄露用户的IP地址、浏览器信息篡改网页XSS钓鱼DVWALow应用防御措施仅有前端代码,服务器无任何防御措施攻击方式通过修改URL传递参数,构造XSS测试payloadPayload:?default=alert('xss')Medium应用防御措施服务器做了对“script
DVWA - XSS DOM (medium)
S1xTwe1ve
dvwa
随便在选项里选一个,url中会出现我们选的哪个。看看可不可以用alert(document.cookie)127.0.0.1/DVWA-master/vulnerabilities/xss_d/?default=alert(document.cookie)发现不会执行,而且语句也没有在url中显示,只显示English应该是过滤了方法一换一个试一下127.0
网络安全组织架构表 网络安全技术架构
网络安全Ash
web安全 架构 安全
一,什么是XSS?Xss就是javascript脚本攻击,就是在表单提交的时候提交一个小脚本,因为浏览器默认是支持脚本的,所以写个小脚本不做处理的话问题就很大。如何防御?1,通过后台编写一个过滤器拦截所有getParameter参数重写httpservletwrapp方法。2,通过工具类将参数特殊字符转换成html源代码保存。//重写HttpServletRequestWrapper防止XSS攻击
XSS 与 CSRF 攻击你了解多少呢
javascript前端安全
网络安全至关重要,它保护着我们的个人信息和网站的正常运行。XSS和CSRF是两种常见且危险的网络威胁,它常常困扰着我们,而你又了解多少呢?一、XSS攻击深度剖析(一)概念溯源与攻击本质XSS,即跨站脚本攻击,其核心在于攻击者利用网站对用户输入数据处理的漏洞,将恶意脚本注入网页。当其他用户访问该网页时,浏览器会误将这些恶意脚本当作正常网页内容执行,从而沦为攻击者的“傀儡”,实现用户敏感信息窃取、会话
html网络安全工具源码 网络安全前端
网络安全queen
web安全 安全
点击文末小卡片,免费获取网络安全全套资料,资料在手,涨薪更快前端常见的网络安全包括:xss(跨站脚本攻击)、csrf(跨站请求伪造)、sql注入攻击等。1)跨站脚本攻击(xss)原理:攻击者往web页面中注入恶意script代码(或者在url的查询参数中注入script代码),当用户浏览访问时,嵌入的script代码就会执行,造成危害。反射型xss:用户点击攻击连接,服务器解析后响应,在返回的内容
【Tools/macOS系列】macOS终端配置:zsh+iTerm2+OhMyZsh
飞翔的鲲
【实用工具专栏】 macOS zsh iTerm2 终端 ohmyzsh
DATE:2021.7.17文章目录1、前言2、参考3、终端和vim配置效果图4、终端配置步骤4.1、安装iTerm24.2、安装oh-my-zsh4.3、主题和颜色4.4、插件4.5、特殊字体Hackherdfont4.6、vim配置4.7、随时唤起4.8、自定义界面壁纸1、前言macOS的终端Terminal界面非常简单,没有Linux下面的颜色设置和自动补齐等功能,用起来非常不方便。本文讲解
PHP 安全与加密:守护 Web 应用的基石
来恩1003
PHP 从入门到精通 php 安全 前端
PHP学习资料PHP学习资料PHP学习资料在当今数字化时代,Web应用无处不在,而PHP作为一种广泛使用的服务器端脚本语言,承载着无数网站和应用的核心逻辑。然而,随着网络攻击手段日益复杂,PHP应用面临着诸多安全威胁,如SQL注入、XSS攻击等,同时,数据的加密保护也至关重要。本文将深入探讨PHP中的安全问题及加密算法的应用,帮助开发者构建更安全可靠的Web应用。一、PHP安全之殇——SQL注入攻
cmake linux模板 多目录_【转载】CMake 简介和 CMake 模板
weixin_39790738
cmake linux模板 多目录
如果你用Linux操作系统,使用cmake会简单很多,可以参考一个很好的教程:CMake入门实战|HaHack。如果你用Linux操作系统,而且只是运行一些小程序,可以看看我的另一篇博客:你就编译一个cpp,用CMake还不如用pkg-config呢。但如果你用Windows,很大的可能你会使用图形界面的CMake(cmake-gui.exe)和VisualStudio。本文先简单介绍使用CMak
网络安全常识
网络安全queen
网络 网络安全 网络协议 web安全
随着互联网和移动互联网的持续火热,人们的生活也越来越离不开网络,网络安全,在这个信息化时代显得尤为重要,那么网络攻击和安全,这一攻守之间,主要涵盖哪些要点呢,下面我们就来对此进行抽丝剥茧,逐条解析。XSS(跨站脚本攻击)最常见的是cookie劫持,简单来说就是我们用浏览器登录一个网站,主要是用存在客户端浏览器里的cookie来保存客户唯一标识的令牌,在Java写就的网站里,是一个jsessioni
渗透测试工具包 开源安全测试工具 网络安全工具_网络安全渗透测试工具(1)
2401_84254011
程序员 安全 开源 测试工具
hackUtils-它是一个用于渗透测试和网络安全研究的黑客工具包,渗透以及web攻击脚本。msf框架:pocsscan攻击框架Pocsuite攻击框架Beebeeto攻击框架漏洞POC&EXP-ExploitDB官方git版本。php漏洞代码分析ysoserial-JAVA反序列化POC生成工具:JavaUnserializeExploits-JAVA反序列化EXP。JenkinsCommonC
青少年编程与数学 02-009 Django 5 Web 编程 23课题、安全性
明月看潮生
编程与数学 第02阶段 青少年编程 django 编程与数学 python 网络安全
青少年编程与数学02-009Django5Web编程23课题、安全性一、安全性安全性的定义安全性的关键方面安全性的实现方法安全性的挑战安全性的最佳实践二、安全漏洞1.注入漏洞2.跨站脚本(XSS)漏洞3.跨站请求伪造(CSRF)漏洞4.不安全的认证和会话管理5.安全配置错误6.不安全的反序列化7.使用含有已知漏洞的组件8.文件上传漏洞9.缓存区溢出10.信息泄露防范措施三、Django项目的安全性
view标签class属性
▍ 小太阳 ☼
微信小程序
其中class的值对应wxss(全局或当前页面)中定义的属性名例:index.js:app.wxss:.container{height:100%;display:flex;flex-direction:column;align-items:center;justify-content:space-between;padding:200rpx0;box-sizing:border-box;}此时就
安全面试1
白初&
面试题目总结 安全 面试 网络
目录渗透的流程信息收集如何处理子域名爆破的泛解析问题泛解析判断泛解析的存在处理泛解析的策略如何绕过CDN查找真实ipphpinfo中常见的敏感信息权限维持Windows权限维持Linux权限维持技术跨平台权限维持技术检测和防御输出到href的XSS如何防御samesite防御CSRF的原理SameSite的工作原理CSRF防御json格式的CSRF如何防御浏览器解析顺序和解码顺序解析顺序解码顺序过
一篇文章带你理解黑客、骇客、白客、红客的区别和作用
编程小亦
黑客 PHP php web安全 安全
遵循AI写法主编:hurrycry黑客(Hacker)黑客一词最早可以追溯到20世纪60年代的麻省理工学院(MIT)。当时,一群才华横溢的计算机爱好者,他们热衷于探索计算机系统的奥秘。这些人被称为黑客,他们最初的目的是为了更好地理解计算机的工作原理,通过编写程序来解决复杂的技术问题。他们以自己的技术能力为傲,并且有着强烈的好奇心和求知欲。例如,早期的黑客会尝试优化计算机的操作系统,或者找到新的方法
深入了解 AppScan 工具的使用:筑牢 Web 应用安全防线
垚垚 Securify 前沿站
十大漏洞 网络 安全 前端 web安全 系统安全 运维
前言IBMAppScan作为一款业界领先的Web应用程序安全测试工具,就像一位专业的“安全卫士”,能够精准高效地识别并协助修复各类安全漏洞,为应用安全保驾护航。接下来,让我们一同深入探索AppScan的使用奥秘。一、探秘AppScan:功能与原理剖析AppScan的核心功能是模拟黑客的多样化攻击手段,对Web应用程序展开全方位、无死角的深度扫描,从而揪出隐藏其中的SQL注入、跨站脚本(XSS)、文
2024山东省职业院校技能大赛“网络空间安全”赛题及赛题解析(超详细)_2024年山东省职业院校技能大赛中职组网络安全赛项竞赛样题(2)
2401_84252820
程序员 安全 web安全
如何自学黑客&网络安全黑客零基础入门学习路线&规划初级黑客1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、GoogleHacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF
遍历dom 并且存储(将每一层的DOM元素存在数组中)
换个号韩国红果果
JavaScript html
数组从0开始!!
var a=[],i=0;
for(var j=0;j<30;j++){
a[j]=[];//数组里套数组,且第i层存储在第a[i]中
}
function walkDOM(n){
do{
if(n.nodeType!==3)//筛选去除#text类型
a[i].push(n);
//con
Android+Jquery Mobile学习系列(9)-总结和代码分享
白糖_
JQuery Mobile
目录导航
经过一个多月的边学习边练手,学会了Android基于Web开发的毛皮,其实开发过程中用Android原生API不是很多,更多的是HTML/Javascript/Css。
个人觉得基于WebView的Jquery Mobile开发有以下优点:
1、对于刚从Java Web转型过来的同学非常适合,只要懂得HTML开发就可以上手做事。
2、jquerym
impala参考资料
dayutianfei
impala
记录一些有用的Impala资料
1. 入门资料
>>官网翻译:
http://my.oschina.net/weiqingbin/blog?catalog=423691
2. 实用进阶
>>代码&架构分析:
Impala/Hive现状分析与前景展望:http
JAVA 静态变量与非静态变量初始化顺序之新解
周凡杨
java 静态 非静态 顺序
今天和同事争论一问题,关于静态变量与非静态变量的初始化顺序,谁先谁后,最终想整理出来!测试代码:
import java.util.Map;
public class T {
public static T t = new T();
private Map map = new HashMap();
public T(){
System.out.println(&quo
跳出iframe返回外层页面
g21121
iframe
在web开发过程中难免要用到iframe,但当连接超时或跳转到公共页面时就会出现超时页面显示在iframe中,这时我们就需要跳出这个iframe到达一个公共页面去。
首先跳转到一个中间页,这个页面用于判断是否在iframe中,在页面加载的过程中调用如下代码:
<script type="text/javascript">
//<!--
function
JAVA多线程监听JMS、MQ队列
510888780
java多线程
背景:消息队列中有非常多的消息需要处理,并且监听器onMessage()方法中的业务逻辑也相对比较复杂,为了加快队列消息的读取、处理速度。可以通过加快读取速度和加快处理速度来考虑。因此从这两个方面都使用多线程来处理。对于消息处理的业务处理逻辑用线程池来做。对于加快消息监听读取速度可以使用1.使用多个监听器监听一个队列;2.使用一个监听器开启多线程监听。
对于上面提到的方法2使用一个监听器开启多线
第一个SpringMvc例子
布衣凌宇
spring mvc
第一步:导入需要的包;
第二步:配置web.xml文件
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi=
我的spring学习笔记15-容器扩展点之PropertyOverrideConfigurer
aijuans
Spring3
PropertyOverrideConfigurer类似于PropertyPlaceholderConfigurer,但是与后者相比,前者对于bean属性可以有缺省值或者根本没有值。也就是说如果properties文件中没有某个bean属性的内容,那么将使用上下文(配置的xml文件)中相应定义的值。如果properties文件中有bean属性的内容,那么就用properties文件中的值来代替上下
通过XSD验证XML
antlove
xml schema xsd validation SchemaFactory
1. XmlValidation.java
package xml.validation;
import java.io.InputStream;
import javax.xml.XMLConstants;
import javax.xml.transform.stream.StreamSource;
import javax.xml.validation.Schem
文本流与字符集
百合不是茶
PrintWrite()的使用 字符集名字 别名获取
文本数据的输入输出;
输入;数据流,缓冲流
输出;介绍向文本打印格式化的输出PrintWrite();
package 文本流;
import java.io.FileNotFound
ibatis模糊查询sqlmap-mapping-**.xml配置
bijian1013
ibatis
正常我们写ibatis的sqlmap-mapping-*.xml文件时,传入的参数都用##标识,如下所示:
<resultMap id="personInfo" class="com.bijian.study.dto.PersonDTO">
<res
java jvm常用命令工具——jdb命令(The Java Debugger)
bijian1013
java jvm jdb
用来对core文件和正在运行的Java进程进行实时地调试,里面包含了丰富的命令帮助您进行调试,它的功能和Sun studio里面所带的dbx非常相似,但 jdb是专门用来针对Java应用程序的。
现在应该说日常的开发中很少用到JDB了,因为现在的IDE已经帮我们封装好了,如使用ECLI
【Spring框架二】Spring常用注解之Component、Repository、Service和Controller注解
bit1129
controller
在Spring常用注解第一步部分【Spring框架一】Spring常用注解之Autowired和Resource注解(http://bit1129.iteye.com/blog/2114084)中介绍了Autowired和Resource两个注解的功能,它们用于将依赖根据名称或者类型进行自动的注入,这简化了在XML中,依赖注入部分的XML的编写,但是UserDao和UserService两个bea
cxf wsdl2java生成代码super出错,构造函数不匹配
bitray
super
由于过去对于soap协议的cxf接触的不是很多,所以遇到了也是迷糊了一会.后来经过查找资料才得以解决. 初始原因一般是由于jaxws2.2规范和jdk6及以上不兼容导致的.所以要强制降为jaxws2.1进行编译生成.我们需要少量的修改:
我们原来的代码
wsdl2java com.test.xxx -client http://.....
修改后的代
动态页面正文部分中文乱码排障一例
ronin47
公司网站一部分动态页面,早先使用apache+resin的架构运行,考虑到高并发访问下的响应性能问题,在前不久逐步开始用nginx替换掉了apache。 不过随后发现了一个问题,随意进入某一有分页的网页,第一页是正常的(因为静态化过了);点“下一页”,出来的页面两边正常,中间部分的标题、关键字等也正常,唯独每个标题下的正文无法正常显示。 因为有做过系统调整,所以第一反应就是新上
java-54- 调整数组顺序使奇数位于偶数前面
bylijinnan
java
import java.util.Arrays;
import java.util.Random;
import ljn.help.Helper;
public class OddBeforeEven {
/**
* Q 54 调整数组顺序使奇数位于偶数前面
* 输入一个整数数组,调整数组中数字的顺序,使得所有奇数位于数组的前半部分,所有偶数位于数组的后半
从100PV到1亿级PV网站架构演变
cfyme
网站架构
一个网站就像一个人,存在一个从小到大的过程。养一个网站和养一个人一样,不同时期需要不同的方法,不同的方法下有共同的原则。本文结合我自已14年网站人的经历记录一些架构演变中的体会。 1:积累是必不可少的
架构师不是一天练成的。
1999年,我作了一个个人主页,在学校内的虚拟空间,参加了一次主页大赛,几个DREAMWEAVER的页面,几个TABLE作布局,一个DB连接,几行PHP的代码嵌入在HTM
[宇宙时代]宇宙时代的GIS是什么?
comsci
Gis
我们都知道一个事实,在行星内部的时候,因为地理信息的坐标都是相对固定的,所以我们获取一组GIS数据之后,就可以存储到硬盘中,长久使用。。。但是,请注意,这种经验在宇宙时代是不能够被继续使用的
宇宙是一个高维时空
详解create database命令
czmmiao
database
完整命令
CREATE DATABASE mynewdb USER SYS IDENTIFIED BY sys_password USER SYSTEM IDENTIFIED BY system_password LOGFILE GROUP 1 ('/u01/logs/my/redo01a.log','/u02/logs/m
几句不中听却不得不认可的话
datageek
1、人丑就该多读书。
2、你不快乐是因为:你可以像猪一样懒,却无法像只猪一样懒得心安理得。
3、如果你太在意别人的看法,那么你的生活将变成一件裤衩,别人放什么屁,你都得接着。
4、你的问题主要在于:读书不多而买书太多,读书太少又特爱思考,还他妈话痨。
5、与禽兽搏斗的三种结局:(1)、赢了,比禽兽还禽兽。(2)、输了,禽兽不如。(3)、平了,跟禽兽没两样。结论:选择正确的对手很重要。
6
1 14:00 PHP中的“syntax error, unexpected T_PAAMAYIM_NEKUDOTAYIM”错误
dcj3sjt126com
PHP
原文地址:http://www.kafka0102.com/2010/08/281.html
因为需要,今天晚些在本机使用PHP做些测试,PHP脚本依赖了一堆我也不清楚做什么用的库。结果一跑起来,就报出类似下面的错误:“Parse error: syntax error, unexpected T_PAAMAYIM_NEKUDOTAYIM in /home/kafka/test/
xcode6 Auto layout and size classes
dcj3sjt126com
ios
官方GUI
https://developer.apple.com/library/ios/documentation/UserExperience/Conceptual/AutolayoutPG/Introduction/Introduction.html
iOS中使用自动布局(一)
http://www.cocoachina.com/ind
通过PreparedStatement批量执行sql语句【sql语句相同,值不同】
梦见x光
sql 事务 批量执行
比如说:我有一个List需要添加到数据库中,那么我该如何通过PreparedStatement来操作呢?
public void addCustomerByCommit(Connection conn , List<Customer> customerList)
{
String sql = "inseret into customer(id
程序员必知必会----linux常用命令之十【系统相关】
hanqunfeng
Linux常用命令
一.linux快捷键
Ctrl+C : 终止当前命令
Ctrl+S : 暂停屏幕输出
Ctrl+Q : 恢复屏幕输出
Ctrl+U : 删除当前行光标前的所有字符
Ctrl+Z : 挂起当前正在执行的进程
Ctrl+L : 清除终端屏幕,相当于clear
二.终端命令
clear : 清除终端屏幕
reset : 重置视窗,当屏幕编码混乱时使用
time com
NGINX
IXHONG
nginx
pcre 编译安装 nginx
conf/vhost/test.conf
upstream admin {
server 127.0.0.1:8080;
}
server {
listen 80;
&
设计模式--工厂模式
kerryg
设计模式
工厂方式模式分为三种:
1、普通工厂模式:建立一个工厂类,对实现了同一个接口的一些类进行实例的创建。
2、多个工厂方法的模式:就是对普通工厂方法模式的改进,在普通工厂方法模式中,如果传递的字符串出错,则不能正确创建对象,而多个工厂方法模式就是提供多个工厂方法,分别创建对象。
3、静态工厂方法模式:就是将上面的多个工厂方法模式里的方法置为静态,
Spring InitializingBean/init-method和DisposableBean/destroy-method
mx_xiehd
java spring bean xml
1.initializingBean/init-method
实现org.springframework.beans.factory.InitializingBean接口允许一个bean在它的所有必须属性被BeanFactory设置后,来执行初始化的工作,InitialzingBean仅仅指定了一个方法。
通常InitializingBean接口的使用是能够被避免的,(不鼓励使用,因为没有必要
解决Centos下vim粘贴内容格式混乱问题
qindongliang1922
centos vim
有时候,我们在向vim打开的一个xml,或者任意文件中,拷贝粘贴的代码时,格式莫名其毛的就混乱了,然后自己一个个再重新,把格式排列好,非常耗时,而且很不爽,那么有没有办法避免呢? 答案是肯定的,设置下缩进格式就可以了,非常简单: 在用户的根目录下 直接vi ~/.vimrc文件 然后将set pastetoggle=<F9> 写入这个文件中,保存退出,重新登录,
netty大并发请求问题
tianzhihehe
netty
多线程并发使用同一个channel
java.nio.BufferOverflowException: null
at java.nio.HeapByteBuffer.put(HeapByteBuffer.java:183) ~[na:1.7.0_60-ea]
at java.nio.ByteBuffer.put(ByteBuffer.java:832) ~[na:1.7.0_60-ea]
Hadoop NameNode单点问题解决方案之一 AvatarNode
wyz2009107220
NameNode
我们遇到的情况
Hadoop NameNode存在单点问题。这个问题会影响分布式平台24*7运行。先说说我们的情况吧。
我们的团队负责管理一个1200节点的集群(总大小12PB),目前是运行版本为Hadoop 0.20,transaction logs写入一个共享的NFS filer(注:NetApp NFS Filer)。
经常遇到需要中断服务的问题是给hadoop打补丁。 DataNod
↓ ↓ ↓ ↓ ↓ ↓
① ② ③ ④ ⑤ ⑥
浏览器会过滤onerror中的代码,所以换种方式注入
?t=">
