Web前端安全之XSS攻击

什么是XSS

XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie、破坏页面结构、重定向到其它网站等。

XSS攻击

XSS攻击类似于SQL注入攻击，攻击之前，我们先找到一个存在XSS漏洞的网站，XSS漏洞分为两种，一种是DOM Based XSS漏洞，另一种是Stored XSS漏洞。理论上，所有可输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞，漏洞的危害取决于攻击代码的威力，攻击代码也不局限于script。

####基于DOM的XSS
DOM Based XSS是一种基于网页DOM结构的攻击，该攻击特点是中招的人是少数人。
当我登录a.com后，我发现它的页面某些内容是根据url中的一个叫content参数直接显示的，猜测它测页面处理可能是这样，其它语言类似：

<%@ page language="java"contentType="text/html; charset=UTF-8"pageEncoding="UTF-8"%>


    
       XSS测试
    
    
       页面内容：<%=request.getParameter("content")%>

我知道了Tom也注册了该网站，并且知道了他的邮箱(或者其它能接收信息的联系方式)，我做一个超链接发给他，超链接地址为：

1	http://www.a.com?content=

当Tom点击这个链接的时候(假设他已经登录a.com)，浏览器就会直接打开b.com，并且把Tom在a.com中的cookie信息发送到b.com，b.com是我搭建的网站，当我的网站接收到该信息时，我就盗取了Tom在a.com的cookie信息，cookie信息中可能存有登录密码，攻击成功！这个过程中，受害者只有Tom自己。那当我在浏览器输入

1	a.com?content=

浏览器展示页面内容的过程中，就会执行我的脚本，页面输出xss字样，这是攻击了我自己。

####存储型XSS
Stored XSS是存储式XSS漏洞，由于其攻击代码已经存储到服务器上或者数据库中，所以受害者是很多人。
a.com可以发文章，我登录后在a.com中发布了一篇文章，文章中包含了恶意代码，

保存文章。这时Tom和Jack看到了我发布的文章，当在查看我的文章时就都中招了，他们的cookie信息都发送到了我的服务器上，攻击成功！这个过程中，受害者是多个人。Stored XSS漏洞危害性更大，危害面更广。
XSS主要就是利用漏洞执行你需要执行的js代码，常见的xss：

当找不到图片名为1的文件时，执行alert('xss')
s 点击s时运行alert('xss')
<iframe>利用iframe的scr来弹窗</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"><img src="1" οnerrοr=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img>过滤了alert来执行弹窗</span>
</pre> </td> 
    </tr> 
   </tbody> 
  </table> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> </p> 
  <h3 id="XSS分析" style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:1.3em;vertical-align:baseline;line-height:1.3em;color:rgb(85,85,85);"> XSS分析</h3> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 很多应用含有富文本内容，这类应用最典型的特征是具有编辑器，例如：博客日志，邮箱等。这类应用往往允许使用一定的HTML代码。为了在用户体验和安全之间寻找平衡，各种厂商可能采用了不尽相同的办法。但是总体来说，有2类。</p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 第1类我们称为白名单，即：只允许使用白名单内的合法HTML标签，例如IMG。其它均剔除。例如：百度贴吧回帖时候的代码过滤方式。<br> 第2类我们称为黑名单，即：厂商会构建一个有危害的HTML标签、属性列表，然后通过分析用户提交的HTML代码，剔除其中有害的部分。 如：QQ邮箱的发邮件时的过滤方式。</p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 白名单要安全得多，而黑名单的方式则经常会被绕过。</p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 绕过的技巧也有很多，我们可以从最没技术含量的开始说起!! 本节将以QQ空间/QQ校友的日志功能为例来说明，什么是“套现绕过富文本”！</p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 注意：本节说的“套现”，不是与“钱”有关的；在这里的含义是：“套用现成的XSS代码”。</p> 
  <h3 id="XSS防御" style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:1.3em;vertical-align:baseline;line-height:1.3em;color:rgb(85,85,85);"> XSS防御</h3> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 我们是在一个矛盾的世界中，有矛就有盾。只要我们的代码中不存在漏洞，攻击者就无从下手，我们要做一个没有缝的蛋。XSS防御有如下方式。永远不相信用户的输入。需要对用户的输入进行处理，只允许输入合法的值，其它值一概过滤掉。</p> 
  <h4 id="Html-encode" style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:1.2em;vertical-align:baseline;line-height:1.3em;color:rgb(85,85,85);"> Html encode</h4> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 假如某些情况下，我们不能对用户数据进行严格的过滤，那我们也需要对标签进行转换。<br></p> 
  <table style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;border-collapse:collapse;border-spacing:0px;"> 
   <tbody style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 
    <tr style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 
     <td class="gutter" style="border:none;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;"> <pre style="border:none;font-weight:inherit;font-style:inherit;font-family:'Source Code Pro', Consolas, Monaco, Menlo, Consolas, monospace;font-size:.85em;vertical-align:baseline;background:rgb(45,45,45);overflow:auto;color:rgb(102,102,102);line-height:22.4px;text-align:right;"><span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">1</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">2</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">3</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">4</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">5</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">6</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">7</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">8</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">9</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">10</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">11</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">12</span>
</pre> </td> 
     <td class="code" style="border:none;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;"> <pre style="border:none;font-weight:inherit;font-style:inherit;font-family:'Source Code Pro', Consolas, Monaco, Menlo, Consolas, monospace;font-size:14px;vertical-align:baseline;background:rgb(45,45,45);overflow:auto;color:rgb(204,204,204);line-height:22.4px;"><span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">less-than character (<)</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&lt;</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">greater-than character (>)</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&gt;</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">ampersand character (&)</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&amp;</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">double-quote character (")</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&quot;</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">space character( )</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&nbsp;</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">Any ASCII code character whose code is greater-than or equal to 0x80</span>
<span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&#<number>, where <number> is the ASCII character value.</span>
</pre> </td> 
    </tr> 
   </tbody> 
  </table> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> </p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 比如用户输入：<br></p> 
  <table style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;border-collapse:collapse;border-spacing:0px;"> 
   <tbody style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 
    <tr style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 
     <td class="gutter" style="border:none;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;"> <pre style="border:none;font-weight:inherit;font-style:inherit;font-family:'Source Code Pro', Consolas, Monaco, Menlo, Consolas, monospace;font-size:.85em;vertical-align:baseline;background:rgb(45,45,45);overflow:auto;color:rgb(102,102,102);line-height:22.4px;text-align:right;"><span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">1</span>
</pre> </td> 
     <td class="code" style="border:none;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;"> <pre style="border:none;font-weight:inherit;font-style:inherit;font-family:'Source Code Pro', Consolas, Monaco, Menlo, Consolas, monospace;font-size:14px;vertical-align:baseline;background:rgb(45,45,45);overflow:auto;color:rgb(204,204,204);line-height:22.4px;"><span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"><script>window.location.href=”http://www.baidu.com”;</script></span>
</pre> </td> 
    </tr> 
   </tbody> 
  </table> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> </p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 保存后最终存储的会是：<br></p> 
  <table style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;border-collapse:collapse;border-spacing:0px;"> 
   <tbody style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 
    <tr style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 
     <td class="gutter" style="border:none;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;"> <pre style="border:none;font-weight:inherit;font-style:inherit;font-family:'Source Code Pro', Consolas, Monaco, Menlo, Consolas, monospace;font-size:.85em;vertical-align:baseline;background:rgb(45,45,45);overflow:auto;color:rgb(102,102,102);line-height:22.4px;text-align:right;"><span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;font-size:15.3px;vertical-align:baseline;">1</span>
</pre> </td> 
     <td class="code" style="border:none;font-style:inherit;font-family:inherit;font-size:18px;vertical-align:middle;"> <pre style="border:none;font-weight:inherit;font-style:inherit;font-family:'Source Code Pro', Consolas, Monaco, Menlo, Consolas, monospace;font-size:14px;vertical-align:baseline;background:rgb(45,45,45);overflow:auto;color:rgb(204,204,204);line-height:22.4px;"><span class="line" style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;">&lt;script&gt;window.location.href=&quot;http://www.baidu.com&quot;&lt;/script&gt;</span>
</pre> </td> 
    </tr> 
   </tbody> 
  </table> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> </p> 
  <p style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;color:rgb(85,85,85);"> 在展现时浏览器会对这些字符转换成文本内容显示，而不是一段可执行的代码。<br> JavaScript中有三个可以对字符串编码的函数，分别是： escape,encodeURI,encodeURIComponent，相应3个解码函数：unescape,decodeURI,decodeURIComponent 。</p> 
  <h3 id="xss资源" style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:1.3em;vertical-align:baseline;line-height:1.3em;color:rgb(85,85,85);"> xss资源</h3> 
  <ol style="border:0px;font-family:'Titillium Web', 'Helvetica Neue', Helvetica, Arial, 'Microsoft Yahei', sans-serif;font-size:18px;vertical-align:baseline;list-style-position:inside;line-height:1.6em;color:rgb(85,85,85);"> 
   <li style="border:0px;font-weight:inherit;font-style:inherit;font-family:inherit;vertical-align:baseline;"> 如果你想测测XSS，自己又写不出来高端的xss代码，这里有：http://html5sec.org/<br> 2.XSS盲打平台beff<br> BeEF是目前欧美最流行的web框架攻击平台，它的全称是 the Browser exploitation framework project.最近两年国外各种黑客的会议都有它的介绍，很多pentester对这个工具都有很高的赞美。通过XSS这个简单的漏洞，BeEF可以通过一段编制好的javascript控制目标主机的浏览器，通过浏览器拿到各种信息并且扫描内网信息，同时能够配合metasploit进一步渗透主机，强大的有些吓人<br> 官方主页：http://beefproject.com/<br> git代码: https://github.com/chalecao/beef</li> 
  </ol> 
 </div> 
</div>
                            </div>
                        </div>
                    </div>
                    <!--PC和WAP自适应版-->
                    <div id="SOHUCS" sid="1278512280966807552"></div>
                    <script type="text/javascript" src="/views/front/js/chanyan.js"></script>
                    <!-- 文章页-底部 动态广告位 -->
                    <div class="youdao-fixed-ad" id="detail_ad_bottom"></div>
                </div>
                <div class="col-md-3">
                    <div class="row" id="ad">
                        <!-- 文章页-右侧1 动态广告位 -->
                        <div id="right-1" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_1"> </div>
                        </div>
                        <!-- 文章页-右侧2 动态广告位 -->
                        <div id="right-2" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_2"></div>
                        </div>
                        <!-- 文章页-右侧3 动态广告位 -->
                        <div id="right-3" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_3"></div>
                        </div>
                    </div>
                </div>
            </div>
        </div>
    </div>
    <div class="container">
        <h4 class="pt20 mb15 mt0 border-top">你可能感兴趣的:(web安全)</h4>
        <div id="paradigm-article-related">
            <div class="recommend-post mb30">
                <ul class="widget-links">
                    <li><a href="/article/1773471029155397632.htm"
                           title="网络安全（黑客）——自学2024" target="_blank">网络安全（黑客）——自学2024</a>
                        <span class="text-muted">小言同学喜欢挖漏洞</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8/1.htm">信息安全</a><a class="tag" taget="_blank" href="/search/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/1.htm">渗透测试</a>
                        <div>01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一</div>
                    </li>
                    <li><a href="/article/1773470776930926592.htm"
                           title="黑客（网络安全）技术自学30天" target="_blank">黑客（网络安全）技术自学30天</a>
                        <span class="text-muted">一个迷人的黑客</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8/1.htm">信息安全</a><a class="tag" taget="_blank" href="/search/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/1.htm">渗透测试</a>
                        <div>01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一</div>
                    </li>
                    <li><a href="/article/1773347164047605760.htm"
                           title="自学黑客（网络安全）技术——2024最新" target="_blank">自学黑客（网络安全）技术——2024最新</a>
                        <span class="text-muted">九九归二</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8/1.htm">信息安全</a>
                        <div>01什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。02怎样规划网络安全如果你是一</div>
                    </li>
                    <li><a href="/article/1772407208080900096.htm"
                           title="网络安全（黑客）—2024自学笔记" target="_blank">网络安全（黑客）—2024自学笔记</a>
                        <span class="text-muted">羊村最强沸羊羊</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a>
                        <div>前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你</div>
                    </li>
                    <li><a href="/article/1770136563527778304.htm"
                           title="网络安全（黑客）0基础到精通，看这一篇就够了！" target="_blank">网络安全（黑客）0基础到精通，看这一篇就够了！</a>
                        <span class="text-muted">羊村最强沸羊羊</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a>
                        <div>前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你</div>
                    </li>
                    <li><a href="/article/1770136564869955584.htm"
                           title="2024网络安全-自学笔记" target="_blank">2024网络安全-自学笔记</a>
                        <span class="text-muted">羊村最强沸羊羊</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a>
                        <div>前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你</div>
                    </li>
                    <li><a href="/article/1769236676439244800.htm"
                           title="网络安全（黑客技术）—0基础自学" target="_blank">网络安全（黑客技术）—0基础自学</a>
                        <span class="text-muted">羊村最强沸羊羊</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a>
                        <div>前言一、什么是网络安全网络安全可以基于攻击和防御视角来分类，我们经常听到的“红队”、“渗透测试”等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域，都有攻与防两面性，例如Web安全技术，既有Web渗透，也有Web防御技术（WAF）。作为一个合格的网络安全工程师，应该做到攻守兼备，毕竟知己知彼，才能百战百胜。二、怎样规划网络安全如果你</div>
                    </li>
                    <li><a href="/article/1759928158611664896.htm"
                           title="常见的几种Web安全问题测试简介" target="_blank">常见的几种Web安全问题测试简介</a>
                        <span class="text-muted">咖啡加剁椒..</span>
<a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95/1.htm">自动化测试</a><a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E4%BA%BA%E7%94%9F/1.htm">程序人生</a><a class="tag" taget="_blank" href="/search/%E8%81%8C%E5%9C%BA%E5%92%8C%E5%8F%91%E5%B1%95/1.htm">职场和发展</a>
                        <div>Web项目比较常见的安全问题1.XSS(CrossSiteScript)跨站脚本攻击XSS(CrossSiteScript)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。测试方法：在数据输入界面，添加记录输入：，添加成功如果弹出对话框，表明此处存在一个XSS漏洞。或把url请求中参数改为</div>
                    </li>
                    <li><a href="/article/1759716589227307008.htm"
                           title="HTTP查阅手册地址" target="_blank">HTTP查阅手册地址</a>
                        <span class="text-muted">iuiyiyut</span>

                        <div>https://developer.mozilla.org/zh-CN/docs/Web/HTTP教程HTTP概述HTTP缓存HTTPcookiesHTTP访问控制（CORS）HTTP的演变Mozillaweb安全引导HTTP消息典型的HTTP会话HTTP/1.x中的连接管理参考文档HTTP首部HTTP请求方法HTTP状态返回码CSP指令工具与资源Firefox开发者工具MozillaObserv</div>
                    </li>
                    <li><a href="/article/1759663367607382016.htm"
                           title="Shiro-05-5 分钟入门 shiro 安全框架实战笔记" target="_blank">Shiro-05-5 分钟入门 shiro 安全框架实战笔记</a>
                        <span class="text-muted">老马啸西风</span>
<a class="tag" taget="_blank" href="/search/web/1.htm">web</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E6%9E%B6%E6%9E%84/1.htm">架构</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a><a class="tag" taget="_blank" href="/search/%E5%93%88%E5%B8%8C%E7%AE%97%E6%B3%95/1.htm">哈希算法</a>
                        <div>序言大家好，我是老马。前面我们学习了web安全之SpringSecurity入门教程这次我们来一起学习下另一款java安全框架shiro。什么是ApacheShiro？ApacheShiro是一个功能强大且易于使用的Java安全框架，它为开发人员提供了一种直观而全面的解决方案，用于身份验证，授权，加密和会话管理。实际上，它可以管理应用程序安全性的所有方面，同时尽可能避免干扰。它建立在可靠的界面驱动</div>
                    </li>
                    <li><a href="/article/1759644951190269952.htm"
                           title="web安全之 -- XSS攻击" target="_blank">web安全之 -- XSS攻击</a>
                        <span class="text-muted">似水牛年</span>

                        <div>什么是XSS攻击XSS,即为（CrossSiteScripting）,中文名为跨站脚本,是发生在目标用户的浏览器层面上的，当渲染DOM树的过程成发生了不在预期内执行的JS代码时，就发生了XSS攻击。跨站脚本的重点不在‘跨站’上，而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。为不和层叠样式表(CascadingSt</div>
                    </li>
                    <li><a href="/article/1759629242154446848.htm"
                           title="常见Web安全漏洞的实际案例和攻防技术" target="_blank">常见Web安全漏洞的实际案例和攻防技术</a>
                        <span class="text-muted">清水白石008</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>常见Web安全漏洞的实际案例和攻防技术1、SQL注入攻击与防范：通过一个简单的Web应用演示SQL注入攻击，包括入侵者如何通过输入恶意SQL语句来获取敏感数据。提供相应的防范措施，包括参数化查询、ORM框架的使用等，并附上实际代码演示。Copycode#恶意SQL注入语句的示例SELECT*FROMusersWHEREusername='admin'ANDpassword='xxx'OR'1'=</div>
                    </li>
                    <li><a href="/article/1759536294414872576.htm"
                           title="成为一名月薪2万的web安全工程师需要哪些技能？" target="_blank">成为一名月薪2万的web安全工程师需要哪些技能？</a>
                        <span class="text-muted">闪现码狗</span>

                        <div>现在web安全工程师比较火，岗位比较稀缺，现在除了一些大公司对学历要求严格，其余公司看中的大部分是能力。之前有个咨询的17岁的小伙子学习的就是相关方向，17岁，已经工作2年了……当初也是因为其他的要求比较高，所以才选择的web安全方向。那么成为一名web安全工程师需要哪些技能呢？下面就告诉你。01环境的搭建熟悉基本的虚拟机配置。Kalilinux，centos，Windows实验虚拟机自己搭建II</div>
                    </li>
                    <li><a href="/article/1759496514390011904.htm"
                           title="Web安全-JWT认证机制安全性浅析" target="_blank">Web安全-JWT认证机制安全性浅析</a>
                        <span class="text-muted">Tr0e</span>
<a class="tag" taget="_blank" href="/search/Web%E5%AE%89%E5%85%A8/1.htm">Web安全</a>
                        <div>文章目录认证机制数据结构头部有效载荷签名数据转换安全缺陷密钥爆破认证机制JWT全称是JSONWebToken，是目前非常流行的跨域认证解决方案，在单点登录场景中经常使用到。JSONWebToken直接根据token取出保存的用户信息，以及对token可用性校验，大大简化单点登录。起源说起JWT，我们应该来谈一谈基于token的认证和传统的session认证的区别。传统的Session认证我们知道，</div>
                    </li>
                    <li><a href="/article/1759478337195028480.htm"
                           title="Web安全攻防_渗透测试实战指南" target="_blank">Web安全攻防_渗透测试实战指南</a>
                        <span class="text-muted">立志成为网安大牛</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>目录第1章渗透测试之信息收集1.1收集域名信息1.1.1Whois查询1.1.2备案信息查询1.2收集敏感信息1.3收集子域名信息1.4收集常用端口信息1.5指纹识别1.6查找真实IP1.7收集敏感目录文件1.8社会工程学第1章渗透测试之信息收集**1.1收集域名信息**①得知目标域名②获取域名注册信息（域名DNS服务器信息和注册人联系信息）1.1.1Whois查询标准互联网协议，收集网络注册信息</div>
                    </li>
                    <li><a href="/article/1759475767718260736.htm"
                           title="【web安全】渗透测试实战思路" target="_blank">【web安全】渗透测试实战思路</a>
                        <span class="text-muted">星盾网安</span>
<a class="tag" taget="_blank" href="/search/%E4%BB%98%E8%B4%B9%E4%B8%93%E5%8C%BA/1.htm">付费专区</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>步骤一：选目标1.不建议太小的公司（可能都是请别人来开发的，用现成成熟的框架）2.不建议一线大厂：腾讯，字节，阿里等，你懂的3.不建议政府部门，安全设备多，每年有护网，报警你就死建议：找上市公司与子公司，有开发人员，就有漏洞重点：先在天眼查那些找域名所有上市公司链接：上市公司大全子公司：在官网上找步骤二：优先找登录入口1.用户名枚举2.寻找关键信息，看看官网有没有一些文章发布人的姓名，然后使用工具</div>
                    </li>
                    <li><a href="/article/1759442365413666816.htm"
                           title="小白学安全--web安全入门（非常详细）零基础入门到精通，收藏这一篇就够了" target="_blank">小白学安全--web安全入门（非常详细）零基础入门到精通，收藏这一篇就够了</a>
                        <span class="text-muted">网络安全大白</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E9%BB%91%E5%AE%A2/1.htm">黑客</a><a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E5%91%98/1.htm">程序员</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a>
                        <div>作为一个从知道创与到自建安全团队的资深白帽子，一路也是从不止所谓的web小白历经磨难成长起来的我，给现在正在准备学习web安全的同学一些建议。在我认为，渗透安全的范围其实要学习的东西很广泛的，间接的相当于你要是一个前端工程师，也要是一个后端工程师（其中就包含主流的php，JAVA，python等），如果学习移动端安全，你还要是一个出色的安卓工程师，而网络安全又细分为很多方向，比如系统安全、移动安全</div>
                    </li>
                    <li><a href="/article/1759403964425646080.htm"
                           title="什么是SQL注入，有什么防范措施" target="_blank">什么是SQL注入，有什么防范措施</a>
                        <span class="text-muted"></span>
<a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8http/1.htm">安全http</a>
                        <div>随着互联网的普及和数字化进程的加速，Web攻击已经成为网络安全领域的一大威胁。Web攻击不仅可能导致个人隐私泄露、财产损失，还可能对企业和国家的安全造成严重影响。下面德迅云安全就分享一种常见的web攻击方式-SQL注入，了解下什么是SQL注入，还有面对攻击时有哪些防范措施。通过了解这方面的网络安全知识，可以提高日常的web安全性。什么是SQL注入：SQL注入（SQLInjection）是一种常见的</div>
                    </li>
                    <li><a href="/article/1757956662381002752.htm"
                           title="Web安全研究（六）" target="_blank">Web安全研究（六）</a>
                        <span class="text-muted">西杭</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>文章目录HideNoSeek:Camouflaging(隐藏)MaliciousJavaScriptinBenignASTs文章结构IntrojsobfuscationmethodologyExampleHideNoSeek:Camouflaging(隐藏)MaliciousJavaScriptinBenignASTsCCS2019CISPA恶意软件领域，基于学习的系统已经非常流行，并且可以检测新</div>
                    </li>
                    <li><a href="/article/1757956662909485056.htm"
                           title="ACM CCS 2020 · web安全研究学者" target="_blank">ACM CCS 2020 · web安全研究学者</a>
                        <span class="text-muted">丫丫二_97</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/web/1.htm">web</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>ACMCCS2020·web安全研究学者锁一下！最近打算整理下这些学者的论文，然后看一下他们的研究脉络。其他四大也应该锁一下。GiovanniVigna学校：UniversityofCaliforniainSantaBarbara(UCSB，加州大学圣巴巴拉分校)研究机构：DepartmentofComputerScience方向：vulnerabilityanalysis,websecurity</div>
                    </li>
                    <li><a href="/article/1757693425659953152.htm"
                           title="2022网络安全超详细路线图，零基础入门看这篇就够了" target="_blank">2022网络安全超详细路线图，零基础入门看这篇就够了</a>
                        <span class="text-muted">技术宅不太宅</span>
<a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E4%BA%BA%E7%94%9F/1.htm">程序人生</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/kali%E6%B8%97%E9%80%8F/1.htm">kali渗透</a><a class="tag" taget="_blank" href="/search/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95/1.htm">渗透测试</a><a class="tag" taget="_blank" href="/search/sql%E6%B3%A8%E5%85%A5/1.htm">sql注入</a>
                        <div>一.开始前的思考1.我真的喜欢搞安全吗?2.我只是想通过安全赚钱钱吗?3.我不知道做什么就是随便。4.一辈子做信息安全吗这些不想清楚会对你以后的发展很不利，与其盲目的学习web安全，不如先做一个长远的计划。否则在我看来都是浪费时间。如果你考虑好了参照我的计划进行学习,我不敢保证你实践完多牛逼，但是找6k-9k的工作绝对不成问题。1.目的本问目的是带大家快速入门web安全，不会搞些虚张声势的东西都是</div>
                    </li>
                    <li><a href="/article/1757693424150003712.htm"
                           title="（2022版）零基础入门网络安全/Web安全，收藏这一篇就够了" target="_blank">（2022版）零基础入门网络安全/Web安全，收藏这一篇就够了</a>
                        <span class="text-muted">网络安全-无涯</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E9%9D%A2%E8%AF%95/1.htm">面试</a>
                        <div>由于我之前写了不少网络安全技术相关的文章和回答，不少读者朋友知道我是从事网络安全相关的工作，于是经常有人私信问我：我刚入门网络安全，该怎么学？要学哪些东西？有哪些方向？怎么选？这一行职业前景如何？废话不多说，先上一张图镇楼，看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西。在这个圈子技术门类中，工作岗位主要有以下三个方向：安全研发安全研究：二进制方向安全研究：网络渗透方向下面</div>
                    </li>
                    <li><a href="/article/1757648510670356480.htm"
                           title="Web安全测试之XSS" target="_blank">Web安全测试之XSS</a>
                        <span class="text-muted">中科恒信</span>

                        <div>XSS全称(CrossSiteScripting)跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript),当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的.比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理，攻击场景，如何修复。才能有效的防止XSS的发生。阅读目录XSS是如何发生的HTMLE</div>
                    </li>
                    <li><a href="/article/1757452166341083136.htm"
                           title="典型Web安全防护策略" target="_blank">典型Web安全防护策略</a>
                        <span class="text-muted">爱看时事的通信崔</span>

                        <div>Web安全问题的凸显致使得安全防护人员实施大量的安全机制来抵御攻击，尽管各种安全机制设计细节和执行效率可能千差万别，但几乎所有Web应用采用的安全机制在策略上都具有相似性，都离不开核心的几个基本原则和主要措施。一、基本原则1、缺省安全缺省安全可以说是Web安全中最基本、最重要的原则，可以归纳为白名单、黑名单的思想以及最小权限原则。黑名单、白名单思想应该都很熟悉，最典型的例子莫过于制定防火墙的访问控</div>
                    </li>
                    <li><a href="/article/1757172245475639296.htm"
                           title="Web 应用安全发展的介绍" target="_blank">Web 应用安全发展的介绍</a>
                        <span class="text-muted">Wang's Blog</span>
<a class="tag" taget="_blank" href="/search/Web/1.htm">Web</a><a class="tag" taget="_blank" href="/search/%E9%BB%91%E5%AE%A2/1.htm">黑客</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a>
                        <div>黑客技术的发展历史1990年代初，部分人开始研究黑客技术1997-1999黑客团队涌现，进入黄金时代21世纪初，黑客工具傻瓜化，门槛降低，黑客精神不再希望今天的web是安全的春天关于安全公司的甲方和乙方甲方：如腾讯、阿里等需要安全服务的公司乙方：提供安全服务、产品的服务型安全公司圈内熟知的安全公司：绿盟、知道创宇、安天、启明星辰、安恒、天融信Web与二进制Web，研究web安全二进制，研究客户端安</div>
                    </li>
                    <li><a href="/article/1757149881983582208.htm"
                           title="前端必备的 web 安全知识手记" target="_blank">前端必备的 web 安全知识手记</a>
                        <span class="text-muted">就是不吃苦瓜</span>
<a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E6%99%BA%E8%83%BD%E8%B7%AF%E7%94%B1%E5%99%A8/1.htm">智能路由器</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a>
                        <div>前言安全这种东西就是不发生则已，一发生则惊人。作为前端，平时对这方面的知识没啥研究，最近了解了下，特此沉淀。文章内容包括以下几个典型的web安全知识点：XSS、CSRF、点击劫持、SQL注入和上传问题等（下文以小王代指攻击者），话不多说，我们直接开车（附带的例子浅显易懂哦）。XSS（Cross-sitescripting）XSS中文叫做跨站脚本攻击。一句话解释：小王在网页中注入恶意代码，当用户访问</div>
                    </li>
                    <li><a href="/article/1757132251549679616.htm"
                           title="[web安全]深入理解反射式dll注入技术" target="_blank">[web安全]深入理解反射式dll注入技术</a>
                        <span class="text-muted">H_00c8</span>

                        <div>一、前言dll注入技术是让某个进程主动加载指定的dll的技术。恶意软件为了提高隐蔽性，通常会使用dll注入技术将自身的恶意代码以dll的形式注入高可信进程。常规的dll注入技术使用LoadLibraryA()函数来使被注入进程加载指定的dll。常规dll注入的方式一个致命的缺陷是需要恶意的dll以文件的形式存储在受害者主机上。这样使得常规dll注入技术在受害者主机上留下痕迹较大，很容易被edr等安</div>
                    </li>
                    <li><a href="/article/1757000912305405952.htm"
                           title="风炫安全web安全学习第三十五节课 文件下载和文件读取漏洞" target="_blank">风炫安全web安全学习第三十五节课 文件下载和文件读取漏洞</a>
                        <span class="text-muted">风炫安全</span>

                        <div>风炫安全web安全学习第三十五节课文件下载和文件读取漏洞0x03任意文件下载漏洞一些网站由于业务需求，往往需要提供文件下载功能，但若对用户下载的文件不做限制，则恶意用户就能够下载任意敏感文件，这就是文件下载漏洞。漏洞产生原因有读取文件的函数读物文件的路径用户可控，且没有经过校验，或者校验不严格输出文件内容一个正常的网站，存在一个下载文件的功能，同时还会从浏览器接收文件名字文件下载的两种方式1、直接</div>
                    </li>
                    <li><a href="/article/1756618507732140032.htm"
                           title="Content Security Policy (CSP) 中的 frame-ancestors 'self' 指令介绍" target="_blank">Content Security Policy (CSP) 中的 frame-ancestors 'self' 指令介绍</a>
                        <span class="text-muted"></span>

                        <div>ContentSecurityPolicy(CSP)是一种Web安全标准，旨在减少和防止网站上的一些特定类型的攻击，例如跨站脚本攻击（XSS）。CSP允许站点管理员定义允许加载的资源的白名单，限制了浏览器可以执行的操作，从而提高网站的安全性。在CSP中，frame-ancestors是一项用于限制页面能够被嵌入的位置的指令。指令的具体内容是frame-ancestors'self'，意味着只允许页</div>
                    </li>
                    <li><a href="/article/1756491919506030592.htm"
                           title="Web安全" target="_blank">Web安全</a>
                        <span class="text-muted">Towain</span>

                        <div>正确思维方式的重要性，因此我告知好友：安全工程师的核心竞争力不在于他能拥有多少个0day，掌握多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。我是如此想的，也是如此做的。</div>
                    </li>
                                <li><a href="/article/55.htm"
                                       title="多线程编程之卫生间" target="_blank">多线程编程之卫生间</a>
                                    <span class="text-muted">周凡杨</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%B9%B6%E5%8F%91/1.htm">并发</a><a class="tag" taget="_blank" href="/search/%E5%8D%AB%E7%94%9F%E9%97%B4/1.htm">卫生间</a><a class="tag" taget="_blank" href="/search/%E7%BA%BF%E7%A8%8B/1.htm">线程</a><a class="tag" taget="_blank" href="/search/%E5%8E%95%E6%89%80/1.htm">厕所</a>
                                    <div>如大家所知，火车上车厢的卫生间很小，每次只能容纳一个人，一个车厢只有一个卫生间，这个卫生间会被多个人同时使用，在实际使用时，当一个人进入卫生间时则会把卫生间锁上，等出来时打开门，下一个人进去把门锁上，如果有一个人在卫生间内部则别人的人发现门是锁的则只能在外面等待。问题分析：首先问题中有两个实体，一个是人，一个是厕所，所以设计程序时就可以设计两个类。人是多数的，厕所只有一个（暂且模拟的是一个车厢）。</div>
                                </li>
                                <li><a href="/article/182.htm"
                                       title="How to Install GUI to Centos Minimal" target="_blank">How to Install GUI to Centos Minimal</a>
                                    <span class="text-muted">sunjing</span>
<a class="tag" taget="_blank" href="/search/linux/1.htm">linux</a><a class="tag" taget="_blank" href="/search/Install/1.htm">Install</a><a class="tag" taget="_blank" href="/search/Desktop/1.htm">Desktop</a><a class="tag" taget="_blank" href="/search/GUI/1.htm">GUI</a>
                                    <div>http://www.namhuy.net/475/how-to-install-gui-to-centos-minimal.html 
&nbsp; 
I have centos 6.3 minimal running as web server. I’m looking to install gui to my server to vnc to my server. You can insta</div>
                                </li>
                                <li><a href="/article/309.htm"
                                       title="Shell 函数" target="_blank">Shell 函数</a>
                                    <span class="text-muted">daizj</span>
<a class="tag" taget="_blank" href="/search/shell/1.htm">shell</a><a class="tag" taget="_blank" href="/search/%E5%87%BD%E6%95%B0/1.htm">函数</a>
                                    <div>Shell 函数 
linux shell 可以用户定义函数，然后在shell脚本中可以随便调用。 
shell中函数的定义格式如下： 
[function] funname [()]{

    action;
  
     [return int;]

} 
说明： 
 
 1、可以带function fun() 定义，也可以直接fun() 定义,不带任何参数。 
 2、参数返回</div>
                                </li>
                                <li><a href="/article/436.htm"
                                       title="Linux服务器新手操作之一" target="_blank">Linux服务器新手操作之一</a>
                                    <span class="text-muted">周凡杨</span>
<a class="tag" taget="_blank" href="/search/Linux+%E7%AE%80%E5%8D%95+%E6%93%8D%E4%BD%9C/1.htm">Linux 简单 操作</a>
                                    <div>1.whoami 
&nbsp;&nbsp;&nbsp;&nbsp; 当一个用户登录Linux系统之后，也许他想知道自己是发哪个用户登录的。 
&nbsp;&nbsp;&nbsp;&nbsp; 此时可以使用whoami命令。 
&nbsp;&nbsp;&nbsp;&nbsp; [ecuser@HA5-DZ05 ~]$ whoami 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; e</div>
                                </li>
                                <li><a href="/article/563.htm"
                                       title="浅谈Socket通信（一）" target="_blank">浅谈Socket通信（一）</a>
                                    <span class="text-muted">朱辉辉33</span>
<a class="tag" taget="_blank" href="/search/socket/1.htm">socket</a>
                                    <div>在java中ServerSocket用于服务器端，用来监听端口。通过服务器监听，客户端发送请求，双方建立链接后才能通信。当服务器和客户端建立链接后，两边都会产生一个Socket实例，我们可以通过操作Socket来建立通信。 
&nbsp;&nbsp; 首先我建立一个ServerSocket对象。当然要导入java.net.ServerSocket包 
&nbsp;&nbsp; ServerSock</div>
                                </li>
                                <li><a href="/article/690.htm"
                                       title="关于框架的简单认识" target="_blank">关于框架的简单认识</a>
                                    <span class="text-muted">西蜀石兰</span>
<a class="tag" taget="_blank" href="/search/%E6%A1%86%E6%9E%B6/1.htm">框架</a>
                                    <div>入职两个月多，依然是一个不会写代码的小白，每天的工作就是看代码，写wiki。 
前端接触CSS、HTML、JS等语言，一直在用的CS模型，自然免不了数据库的链接及使用，真心涉及框架，项目中用到的BootStrap算一个吧，哦，JQuery只能算半个框架吧，我更觉得它是另外一种语言。 
后台一直是纯Java代码，涉及的框架是Quzrtz和log4j。 
 
都说学前端的要知道三大框架，目前node.</div>
                                </li>
                                <li><a href="/article/817.htm"
                                       title="You have an error in your SQL syntax; check the manual that corresponds to your" target="_blank">You have an error in your SQL syntax; check the manual that corresponds to your</a>
                                    <span class="text-muted">林鹤霄</span>

                                    <div>You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'option,changed_ids &nbsp;) values('0ac91f167f754c8cbac00e9e3dc372</div>
                                </li>
                                <li><a href="/article/944.htm"
                                       title="MySQL5.6的my.ini配置" target="_blank">MySQL5.6的my.ini配置</a>
                                    <span class="text-muted">aigo</span>
<a class="tag" taget="_blank" href="/search/mysql/1.htm">mysql</a>
                                    <div>注意：以下配置的服务器硬件是：8核16G内存&nbsp; 
&nbsp; 
[client] 
&nbsp; 
port=3306 
&nbsp; 
[mysql] 
&nbsp; 
default-character-set=utf8 
&nbsp; 
&nbsp; 
[mysqld] 
&nbsp; 
port=3306 
&nbsp; 
basedir=D:/mysql-5.6.21-win</div>
                                </li>
                                <li><a href="/article/1071.htm"
                                       title="mysql 全文模糊查找 便捷解决方案" target="_blank">mysql 全文模糊查找 便捷解决方案</a>
                                    <span class="text-muted">alxw4616</span>
<a class="tag" taget="_blank" href="/search/mysql/1.htm">mysql</a>
                                    <div>mysql 全文模糊查找 便捷解决方案 
2013/6/14 by 半仙 alxw4616@Msn.com 
 
目的: 项目需求实现模糊查找. 
原则: 查询不能超过 1秒. 
 
问题: 目标表中有超过1千万条记录. 使用like '%str%' 进行模糊查询无法达到性能需求. 
解决方案: 使用mysql全文索引. 
 1.全文索引 : MySQL支持全文索引和搜索功能。MySQL中的全文索</div>
                                </li>
                                <li><a href="/article/1198.htm"
                                       title="自定义数据结构 链表(单项 ,双向,环形)" target="_blank">自定义数据结构 链表(单项 ,双向,环形)</a>
                                    <span class="text-muted">百合不是茶</span>
<a class="tag" taget="_blank" href="/search/%E5%8D%95%E9%A1%B9%E9%93%BE%E8%A1%A8/1.htm">单项链表</a><a class="tag" taget="_blank" href="/search/%E5%8F%8C%E5%90%91%E9%93%BE%E8%A1%A8/1.htm">双向链表</a>
                                    <div>&nbsp; 
&nbsp; &nbsp;链表与动态数组的实现方式差不多, &nbsp; &nbsp;数组适合快速删除某个元素 &nbsp; &nbsp;链表则可以快速的保存数组并且可以是不连续的 
&nbsp; 
&nbsp; &nbsp; 
单项链表;数据从第一个指向最后一个 
&nbsp; 
实现代码: 
&nbsp; 
&nbsp; &nbsp;&nbsp; 
//定义动态链表
clas</div>
                                </li>
                                <li><a href="/article/1325.htm"
                                       title="threadLocal实例" target="_blank">threadLocal实例</a>
                                    <span class="text-muted">bijian1013</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/thread/1.htm">thread</a><a class="tag" taget="_blank" href="/search/java%E5%A4%9A%E7%BA%BF%E7%A8%8B/1.htm">java多线程</a><a class="tag" taget="_blank" href="/search/threadLocal/1.htm">threadLocal</a>
                                    <div>实例1： 
package com.bijian.thread;

public class MyThread extends Thread {

	private static ThreadLocal tl = new ThreadLocal() {
		protected synchronized Object initialValue() {
			return new Inte</div>
                                </li>
                                <li><a href="/article/1452.htm"
                                       title="activemq安全设置—设置admin的用户名和密码" target="_blank">activemq安全设置—设置admin的用户名和密码</a>
                                    <span class="text-muted">bijian1013</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/activemq/1.htm">activemq</a>
                                    <div>&nbsp; &nbsp; &nbsp; &nbsp; ActiveMQ使用的是jetty服务器, 打开conf/jetty.xml文件，找到 
&lt;bean id=&quot;adminSecurityConstraint&quot; class=&quot;org.eclipse.jetty.util.security.Constraint&quot;&gt;
        &lt;p</div>
                                </li>
                                <li><a href="/article/1579.htm"
                                       title="【Java范型一】Java范型详解之范型集合和自定义范型类" target="_blank">【Java范型一】Java范型详解之范型集合和自定义范型类</a>
                                    <span class="text-muted">bit1129</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                                    <div>本文详细介绍Java的范型，写一篇关于范型的博客原因有两个，前几天要写个范型方法(返回值根据传入的类型而定)，竟然想了半天，最后还是从网上找了个范型方法的写法；再者，前一段时间在看Gson, Gson这个JSON包的精华就在于对范型的优雅简单的处理，看它的源代码就比较迷糊，只其然不知其所以然。所以，还是花点时间系统的整理总结下范型吧。 
&nbsp; 范型内容 
 
 范型集合类 
 范型类 
 </div>
                                </li>
                                <li><a href="/article/1706.htm"
                                       title="【HBase十二】HFile存储的是一个列族的数据" target="_blank">【HBase十二】HFile存储的是一个列族的数据</a>
                                    <span class="text-muted">bit1129</span>
<a class="tag" taget="_blank" href="/search/hbase/1.htm">hbase</a>
                                    <div>在HBase中，每个HFile存储的是一个表中一个列族的数据，也就是说，当一个表中有多个列簇时，针对每个列簇插入数据，最后产生的数据是多个HFile，每个对应一个列族，通过如下操作验证 
&nbsp; 
1. 建立一个有两个列族的表 
&nbsp; 
create 'members','colfam1','colfam2' 
&nbsp; 
2. 在members表中的colfam1中插入50*5</div>
                                </li>
                                <li><a href="/article/1833.htm"
                                       title="Nginx 官方一个配置实例" target="_blank">Nginx 官方一个配置实例</a>
                                    <span class="text-muted">ronin47</span>
<a class="tag" taget="_blank" href="/search/nginx+%E9%85%8D%E7%BD%AE%E5%AE%9E%E4%BE%8B/1.htm">nginx 配置实例</a>
                                    <div>user       www www;
worker_processes  5;
error_log  logs/error.log;
pid        logs/nginx.pid;
worker_rlimit_nofile 8192;

events {
  worker_connections  4096;}

http {
  include    conf/mim</div>
                                </li>
                                <li><a href="/article/1960.htm"
                                       title="java-15.输入一颗二元查找树，将该树转换为它的镜像， 即在转换后的二元查找树中，左子树的结点都大于右子树的结点。 用递归和循环" target="_blank">java-15.输入一颗二元查找树，将该树转换为它的镜像， 即在转换后的二元查找树中，左子树的结点都大于右子树的结点。 用递归和循环</a>
                                    <span class="text-muted">bylijinnan</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                                    <div>
//use recursion
	public static void mirrorHelp1(Node node){
		if(node==null)return;
		swapChild(node);
		mirrorHelp1(node.getLeft());
		mirrorHelp1(node.getRight());
	}
	//use no recursion bu</div>
                                </li>
                                <li><a href="/article/2087.htm"
                                       title="返回null还是empty" target="_blank">返回null还是empty</a>
                                    <span class="text-muted">bylijinnan</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/apache/1.htm">apache</a><a class="tag" taget="_blank" href="/search/spring/1.htm">spring</a><a class="tag" taget="_blank" href="/search/%E7%BC%96%E7%A8%8B/1.htm">编程</a>
                                    <div>第一个问题，函数是应当返回null还是长度为0的数组（或集合）？ 
第二个问题，函数输入参数不当时，是异常还是返回null？ 
 
先看第一个问题 
 
有两个约定我觉得应当遵守： 
 
1.返回零长度的数组或集合而不是null（详见《Effective Java》） 
 
理由就是，如果返回empty，就可以少了很多not-null判断： 
 

List&lt;Person&gt; list</div>
                                </li>
                                <li><a href="/article/2214.htm"
                                       title="[科技与项目]工作流厂商的战略机遇期" target="_blank">[科技与项目]工作流厂商的战略机遇期</a>
                                    <span class="text-muted">comsci</span>
<a class="tag" taget="_blank" href="/search/%E5%B7%A5%E4%BD%9C%E6%B5%81/1.htm">工作流</a>
                                    <div> 
 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 在新的战略平衡形成之前，这里有一个短暂的战略机遇期，只有大概最短6年，最长14年的时间，这段时间就好像我们森林里面的小动物，在秋天中，必须抓紧一切时间存储坚果一样，否则无法熬过漫长的冬季。。。。 
 
 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 在微软，甲骨文，谷歌，IBM,SONY</div>
                                </li>
                                <li><a href="/article/2341.htm"
                                       title="过度设计-举例" target="_blank">过度设计-举例</a>
                                    <span class="text-muted">cuityang</span>
<a class="tag" taget="_blank" href="/search/%E8%BF%87%E5%BA%A6%E8%AE%BE%E8%AE%A1/1.htm">过度设计</a>
                                    <div>过度设计，需要更多设计时间和测试成本，如无必要，还是尽量简洁一些好。 
未来的事情，比如 访问量，比如数据库的容量，比如是否需要改成分布式&nbsp; 都是无法预料的 
 
再举一个例子，对闰年的判断逻辑： 
　　1、 if($Year%4==0) return True; else return Fasle; 
　　2、if (&nbsp;&nbsp; ($Year%4==0&nbsp; &am</div>
                                </li>
                                <li><a href="/article/2468.htm"
                                       title="java进阶，《Java性能优化权威指南》试读" target="_blank">java进阶，《Java性能优化权威指南》试读</a>
                                    <span class="text-muted">darkblue086</span>
<a class="tag" taget="_blank" href="/search/java%E6%80%A7%E8%83%BD%E4%BC%98%E5%8C%96/1.htm">java性能优化</a>
                                    <div>记得当年随意读了微软出版社的.NET 2.0应用程序调试，才发现调试器如此强大，应用程序开发调试其实真的简单了很多，不仅仅是因为里面介绍了很多调试器工具的使用，更是因为里面寻找问题并重现问题的思想让我震撼，时隔多年，Java已经如日中天，成为许多大型企业应用的首选，而今天，这本《Java性能优化权威指南》让我再次找到了这种感觉，从不经意的开发过程让我刮目相看，原来性能调优不是简单地看看热点在哪里，</div>
                                </li>
                                <li><a href="/article/2595.htm"
                                       title="网络学习笔记初识OSI七层模型与TCP协议" target="_blank">网络学习笔记初识OSI七层模型与TCP协议</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/1.htm">学习笔记</a>
                                    <div>&nbsp;  协议：在计算机网络中通信各方面所达成的、共同遵守和执行的一系列约定   　　计算机网络的体系结构：计算机网络的层次结构和各层协议的集合。   　　两类服务：   　　面向连接的服务通信双方在通信之前先建立某种状态，并在通信过程中维持这种状态的变化，同时为服务对象预先分配一定的资源。这种服务叫做面向连接的服务。   　　面向无连接的服务通信双方在通信前后不建立和维持状态，不为服务对象</div>
                                </li>
                                <li><a href="/article/2722.htm"
                                       title="mac中用命令行运行mysql" target="_blank">mac中用命令行运行mysql</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/mysql/1.htm">mysql</a><a class="tag" taget="_blank" href="/search/linux/1.htm">linux</a><a class="tag" taget="_blank" href="/search/mac/1.htm">mac</a>
                                    <div>参考这篇博客：http://www.cnblogs.com/macro-cheng/archive/2011/10/25/mysql-001.html&nbsp; 感觉workbench不好用（有点先入为主了）。 
1，安装mysql 
在mysql的官方网站下载 mysql 5.5.23 http://www.mysql.com/downloads/mysql/，根据我的机器的配置情况选择了64</div>
                                </li>
                                <li><a href="/article/2849.htm"
                                       title="MongDB查询（1）——基本查询[五]" target="_blank">MongDB查询（1）——基本查询[五]</a>
                                    <span class="text-muted">eksliang</span>
<a class="tag" taget="_blank" href="/search/mongodb/1.htm">mongodb</a><a class="tag" taget="_blank" href="/search/mongodb+%E6%9F%A5%E8%AF%A2/1.htm">mongodb 查询</a><a class="tag" taget="_blank" href="/search/mongodb+find/1.htm">mongodb find</a>
                                    <div>MongDB查询 
转载请出自出处：http://eksliang.iteye.com/blog/2174452 一、find简介 
MongoDB中使用find来进行查询。 
API:如下 
function ( query , fields , limit , skip, batchSize, options ){.....} 
&nbsp;参数含义： 
 
 query:查询参数 
 fie</div>
                                </li>
                                <li><a href="/article/2976.htm"
                                       title="base64，加密解密 经融加密，对接" target="_blank">base64，加密解密 经融加密，对接</a>
                                    <span class="text-muted">y806839048</span>
<a class="tag" taget="_blank" href="/search/%E7%BB%8F%E8%9E%8D%E5%8A%A0%E5%AF%86/1.htm">经融加密</a><a class="tag" taget="_blank" href="/search/%E5%AF%B9%E6%8E%A5/1.htm">对接</a>
                                    <div>String data0 = new String(Base64.encode(bo.getPaymentResult().getBytes((&quot;GBK&quot;)))); 
 String data1 = new String(Base64.decode(data0.toCharArray()),&quot;GBK&quot;); 
 
// 注意编码格式，注意用于加密，解密的要是同</div>
                                </li>
                                <li><a href="/article/3103.htm"
                                       title="JavaWeb之JSP概述" target="_blank">JavaWeb之JSP概述</a>
                                    <span class="text-muted">ihuning</span>
<a class="tag" taget="_blank" href="/search/javaweb/1.htm">javaweb</a>
                                    <div>&nbsp; 
什么是JSP？为什么使用JSP？ 
JSP表示Java Server Page，即嵌有Java代码的HTML页面。使用JSP是因为在HTML中嵌入Java代码比在Java代码中拼接字符串更容易、更方便和更高效。 
&nbsp; 
JSP起源&nbsp; 
&nbsp; 
在很多动态网页中，绝大部分内容都是固定不变的，只有局部内容需要动态产生和改变。&nbsp; 
如果使用Servl</div>
                                </li>
                                <li><a href="/article/3230.htm"
                                       title="apple watch 指南" target="_blank">apple watch 指南</a>
                                    <span class="text-muted">啸笑天</span>
<a class="tag" taget="_blank" href="/search/apple/1.htm">apple</a>
                                    <div>1. 文档 
 
  WatchKit Programming Guide（中译在线版&nbsp;By&nbsp;@CocoaChina）    译文 译者 原文   概览 - 开始为 Apple Watch 进行开发 @星夜暮晨 Overview - Developing for Apple Watch   概览 - 配置 Xcode 项目 - Overview - Configuring Yo</div>
                                </li>
                                <li><a href="/article/3357.htm"
                                       title="java经典的基础题目" target="_blank">java经典的基础题目</a>
                                    <span class="text-muted">macroli</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E7%BC%96%E7%A8%8B/1.htm">编程</a>
                                    <div>1.列举出 10个JAVA语言的优势 a:免费，开源，跨平台(平台独立性)，简单易用，功能完善，面向对象，健壮性，多线程，结构中立，企业应用的成熟平台, 无线应用 2.列举出JAVA中10个面向对象编程的术语 a:包，类，接口，对象，属性，方法，构造器，继承，封装，多态，抽象，范型 3.列举出JAVA中6个比较常用的包 Java.lang;java.util;java.io;java.sql;ja</div>
                                </li>
                                <li><a href="/article/3484.htm"
                                       title="你所不知道神奇的js replace正则表达式" target="_blank">你所不知道神奇的js replace正则表达式</a>
                                    <span class="text-muted">qiaolevip</span>
<a class="tag" taget="_blank" href="/search/%E6%AF%8F%E5%A4%A9%E8%BF%9B%E6%AD%A5%E4%B8%80%E7%82%B9%E7%82%B9/1.htm">每天进步一点点</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0%E6%B0%B8%E6%97%A0%E6%AD%A2%E5%A2%83/1.htm">学习永无止境</a><a class="tag" taget="_blank" href="/search/%E7%BA%B5%E8%A7%82%E5%8D%83%E8%B1%A1/1.htm">纵观千象</a><a class="tag" taget="_blank" href="/search/regex/1.htm">regex</a>
                                    <div>var v = 'C9CFBAA3CAD0';
console.log(v);
var arr = v.split('');
for (var i = 0; i &lt; arr.length; i ++) {
  if (i % 2 == 0) arr[i] = '%' + arr[i];
}
console.log(arr.join(''));

console.log(v.r</div>
                                </li>
                                <li><a href="/article/3611.htm"
                                       title="[一起学Hive]之十五-分析Hive表和分区的统计信息(Statistics)" target="_blank">[一起学Hive]之十五-分析Hive表和分区的统计信息(Statistics)</a>
                                    <span class="text-muted">superlxw1234</span>
<a class="tag" taget="_blank" href="/search/hive/1.htm">hive</a><a class="tag" taget="_blank" href="/search/hive%E5%88%86%E6%9E%90%E8%A1%A8/1.htm">hive分析表</a><a class="tag" taget="_blank" href="/search/hive%E7%BB%9F%E8%AE%A1%E4%BF%A1%E6%81%AF/1.htm">hive统计信息</a><a class="tag" taget="_blank" href="/search/hive+Statistics/1.htm">hive Statistics</a>
                                    <div>关键字：Hive统计信息、分析Hive表、Hive Statistics 
&nbsp; 
类似于Oracle的分析表，Hive中也提供了分析表和分区的功能，通过自动和手动分析Hive表，将Hive表的一些统计信息存储到元数据中。 
&nbsp; 
表和分区的统计信息主要包括：行数、文件数、原始数据大小、所占存储大小、最后一次操作时间等； 
&nbsp; 14.1 新表的统计信息 
对于一个新创建</div>
                                </li>
                                <li><a href="/article/3738.htm"
                                       title="Spring Boot 1.2.5 发布" target="_blank">Spring Boot 1.2.5 发布</a>
                                    <span class="text-muted">wiselyman</span>
<a class="tag" taget="_blank" href="/search/spring+boot/1.htm">spring boot</a>
                                    <div>&nbsp; 
&nbsp; 
Spring Boot 1.2.5已在7月2日发布，现在可以从spring的maven库和maven中心库下载。 
&nbsp; 
这个版本是一个维护的发布版，主要是一些修复以及将Spring的依赖提升至4.1.7(包含重要的安全修复)。 
&nbsp; 
官方建议所有的Spring Boot用户升级这个版本。 
&nbsp; 
项目首页&nbsp;|&nbsp;源</div>
                                </li>
                </ul>
            </div>
        </div>
    </div>

<div>
    <div class="container">
        <div class="indexes">
            <strong>按字母分类：</strong>
            <a href="/tags/A/1.htm" target="_blank">A</a><a href="/tags/B/1.htm" target="_blank">B</a><a href="/tags/C/1.htm" target="_blank">C</a><a
                href="/tags/D/1.htm" target="_blank">D</a><a href="/tags/E/1.htm" target="_blank">E</a><a href="/tags/F/1.htm" target="_blank">F</a><a
                href="/tags/G/1.htm" target="_blank">G</a><a href="/tags/H/1.htm" target="_blank">H</a><a href="/tags/I/1.htm" target="_blank">I</a><a
                href="/tags/J/1.htm" target="_blank">J</a><a href="/tags/K/1.htm" target="_blank">K</a><a href="/tags/L/1.htm" target="_blank">L</a><a
                href="/tags/M/1.htm" target="_blank">M</a><a href="/tags/N/1.htm" target="_blank">N</a><a href="/tags/O/1.htm" target="_blank">O</a><a
                href="/tags/P/1.htm" target="_blank">P</a><a href="/tags/Q/1.htm" target="_blank">Q</a><a href="/tags/R/1.htm" target="_blank">R</a><a
                href="/tags/S/1.htm" target="_blank">S</a><a href="/tags/T/1.htm" target="_blank">T</a><a href="/tags/U/1.htm" target="_blank">U</a><a
                href="/tags/V/1.htm" target="_blank">V</a><a href="/tags/W/1.htm" target="_blank">W</a><a href="/tags/X/1.htm" target="_blank">X</a><a
                href="/tags/Y/1.htm" target="_blank">Y</a><a href="/tags/Z/1.htm" target="_blank">Z</a><a href="/tags/0/1.htm" target="_blank">其他</a>
        </div>
    </div>
</div>
<footer id="footer" class="mb30 mt30">
    <div class="container">
        <div class="footBglm">
            <a target="_blank" href="/">首页</a> -
            <a target="_blank" href="/custom/about.htm">关于我们</a> -
            <a target="_blank" href="/search/Java/1.htm">站内搜索</a> -
            <a target="_blank" href="/sitemap.txt">Sitemap</a> -
            <a target="_blank" href="/custom/delete.htm">侵权投诉</a>
        </div>
        <div class="copyright">版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.
<!--            <a href="https://beian.miit.gov.cn/" rel="nofollow" target="_blank">京ICP备09083238号</a><br>-->
        </div>
    </div>
</footer>
<!-- 代码高亮 -->
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shCore.js"></script>
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shLegacy.js"></script>
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shAutoloader.js"></script>
<link type="text/css" rel="stylesheet" href="/static/syntaxhighlighter/styles/shCoreDefault.css"/>
<script type="text/javascript" src="/static/syntaxhighlighter/src/my_start_1.js"></script>





</body>

</html>