关于web应用程序安全的思考(一)

 谢谢大家的关注

关于web应用程序安全的思考(序)中我曾提到﹕web应用程序的安全不应该依赖于客户端的请求信息。

众所周知﹐http协议是开放的﹐因此谁都能向网络上公开的web服务器发送request请求﹐要求一个URL(Uniform Resource Locator 统一资源定位符)

所谓request﹐不过是符合http协议(即遵守http请求语法)的一大段字符串而已﹕

下面是一个aspx的请求示例﹕

GET   / FrameWorkService / TestRequest.aspx HTTP / 1.1
Connection: Keep - Alive
Accept:  */*
Accept - Encoding: gzip, deflate
Accept - Language: zh - tw
Host: localhost
User - Agent: Mozilla / 4.0  (compatible; MSIE  7.0 ; Windows NT  5.2 ; .NET CLR  1.1 . 4322 ; .NET CLR  2.0 . 50727 ; .NET CLR  3.0 . 04506.30 )
UA - CPU: x86

 

 

下面是一个web service的请求示例﹕

POST  / testwssecurity / service2.asmx HTTP / 1.1
Content - Length:  288
Content - Type: text / xml; charset = utf - 8
Expect:  100 - continue
Host: localhost
User - Agent: Mozilla / 4.0  (compatible; MSIE  6.0 ; MS Web Services Client Protocol  2.0 . 50727.42 )
SOAPAction:  " http://tempuri.org/HelloWorld "

< ?xml version = " 1.0 "  encoding = " utf-8 " ? >< soap:Envelope xmlns:soap = " http://schemas.xmlsoap.org/soap/envelope/ "  xmlns:xsi = " http://www.w3.org/2001/XMLSchema-instance "  xmlns:xsd = " http://www.w3.org/2001/XMLSchema " >< soap:Body >< HelloWorld xmlns = " http://tempuri.org/ "   /></ soap:Body ></ soap:Envelope >

 

相信大家基本上能理解上述字符串的意义。这表明我们只要组织类似的字符串﹐然后发往相应的web服务器﹐就可以请求到某个URL了﹐也就是说web请求不依赖浏览器(其实web也不依赖服务器﹐它只依赖http协议)

下面的这个程序是C#写的通过socket直接向web服务器发送http请求的示例﹕

 

 1 using  System;
  2 using  System.Text;
  3 using  System.IO;
  4 using  System.Net;
  5 using  System.Net.Sockets;
  6
 7 public   class  server
  8 {
 9    //建立socket連接
10    private static Socket ConnectSocket(string server, int port)
11    {
12        Socket s = null;
13        IPHostEntry hostEntry = null;
14        hostEntry = Dns.GetHostEntry(server);
15        foreach (IPAddress address in hostEntry.AddressList)
16        {
17            IPEndPoint ipe = new IPEndPoint(address, port);
18            Socket tempSocket =
19                new Socket(ipe.AddressFamily, SocketType.Stream, ProtocolType.Tcp);
20            tempSocket.Connect(ipe);
21            if (tempSocket.Connected)
22            {
23                s = tempSocket;
24                break;
25            }
26            else
27            {
28                continue;
29            }
30        }
31        Console.WriteLine(s==null?"":"連接建立成功﹗");
32        return s;
33    }
34
35    //發送request請求并返回響應字串
36    private static string SocketSendReceive(string request,string server, int port)
37    {
38        Byte[] bytesSent = Encoding.ASCII.GetBytes(request);
39        Byte[] bytesReceived = new Byte[256];
40        Socket s = ConnectSocket(server, port);
41        if (s == null)
42            return ("連接失敗﹗");
43        Console.WriteLine("正在發送請求");
44        s.Send(bytesSent, bytesSent.Length, 0);
45        int bytes = 0;
46        StringBuilder responsestr = new StringBuilder();
47        Console.WriteLine("正在接收web服務器的回應");
48        do
49        {
50            bytes = s.Receive(bytesReceived, bytesReceived.Length, 0);
51            responsestr.Append(Encoding.UTF8.GetString(bytesReceived, 0, bytes));
52        }
53        while (bytes > 0);
54        return responsestr.ToString();
55    }
56    
57    //獲取Request請求字符串
58    private static string getRequestStr()
59    {
60        StringBuilder sb = new StringBuilder();
61        sb.Append("GET /FrameWorkService/TestRequest.aspx?name=zkw&age=24 HTTP/1.1\r\n");
62        sb.Append("Host: localhost\r\n");
63        sb.Append("Accept: */*\r\n");
64        sb.Append("Accept-Encoding: gzip, deflate\r\n");
65        sb.Append("Accept-Language: zh-tw\r\n");
66        sb.Append("User-Agent: Mozilla/8.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)\r\n");
67        sb.Append("UA-CPU: x86\r\n");
68        sb.Append("Cookie: ASP.NET_SessionId=g5vz3k55q4dhgy3dvmm3dj4x\r\n");
69        sb.Append("Connection: Close\r\n\r\n");
70        return sb.ToString();
71    }
72
73    public static void Main(string[] args)
74    {
75        string requeststr = getRequestStr();
76        Console.WriteLine("請求字串如下﹕\n{0}",requeststr);
77        string result = SocketSendReceive(requeststr,"localhost",80);
78        Console.WriteLine(result);
79        Console.ReadLine();
80    }
81}

 

 相關的aspx.cs程序如下﹕

using  System;
 using  System.Data;
 using  System.Configuration;
 using  System.Collections;
 using  System.Web;
 using  System.Web.Security;
 using  System.Web.UI;
 using  System.Web.UI.WebControls;
 using  System.Web.UI.WebControls.WebParts;
 using  System.Web.UI.HtmlControls;
 using  System.IO;

 public  partial  class  TestRequest : System.Web.UI.Page
 {
    protected void Page_Load(object sender, EventArgs e)
    {
        Request.SaveAs("c:/test.txt",true);
        using(StreamReader sr = new StreamReader("c:/test.txt"))
        {
            tt_request.Value = (sr.ReadToEnd());
        }
        foreach (string key in Request.QueryString.AllKeys)
            div_querystring.Value += string.Format("{0}:{1}\r\n", key, Request[key]);
        if (Session["firsttime"== null)
        {
            Session["firsttime"= DateTime.Now.ToString("yyyy/MM/dd HH:mm:ss");
            Response.Write("<b style='color:red'>first request</b></br>");
        }
        Response.Write("First Time:" + Session["firsttime"].ToString());
    }
}

aspx頁面:

<% @ Page Language="C#" AutoEventWireup="true" CodeFile="TestRequest.aspx.cs" Inherits="TestRequest"  %>
<! DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd" >
< html  xmlns ="http://www.w3.org/1999/xhtml"   >
< head  runat ="server" >
     < title > 請求字串提取示例 </ title >
</ head >
< body >
這是Request字符串﹕ < br  />
< textarea  style ="width:100%;height:200px"  id ="tt_request"  runat ="server" >
</ textarea > &nbsp;
以下是程式直接提取的參數﹕ < br  />
< textarea  id ="div_querystring"  runat ="server"  style ="width:100%;height:100px" >

</ textarea >
</ body >
</ html >

 

由上可知﹐web服务器对于请求方的识别能力是很低的。因此作为web应用程序安全管控的唯一依据就只能是request的url了﹐因为只有它才是真实的﹐而我们进行安全管控的最终目的也就是

判断这个请求方是否拥有这个url的权限(即授权)

这就是我抽象出来的web安全管控的本质﹐依据这点﹐我们就可以把web安全管控和业务系统进行解耦。即在request到达其请求的url之前﹐先对这个url和请求方进行权限验证﹐如果通过﹐我们就放它过去﹐什么都不做﹐如果不通过﹐我们就可以向客户端发送相关的拒绝信息﹐并不让web服务器真正执行到那个url﹐完成安全管控。

 web安全管控中﹐授权的除了要识别授权的客体(URL)之外﹐我们还必须识别授权的主体﹐即请求方的认定﹐也就是常说的认证机制。

 由于http协议无状态的特点﹐每次request时﹐web服务器都无法识别这个请求是否和上次的请求是否相同。因此认证机制在某种程度上来说其实相当困难。

曾经遇到过通过IP来认证的﹐先不说这种机制对于web可以anywhere访问是一种倒退﹐单是那种IP更改﹐欺骗或通过Proxy访问就无法适用了。

现在最多的做法还是通过cookiesession来完成的。

不过最好还是清楚一下cookiesession的原理﹕

Cookiecookie其实也是http request header的一部分﹐我们可以把任何值当作cookie发给web服务器。

至于Session,不知道大家有没有看过.netsession实现机制﹐每次请求后﹐.net会写入一个session_idcookie到客户端﹐这样在下次客户再请求时﹐提取这个cookie来识别。剩下的就和cookie一样了。


大家可以看一下我上面這個例子﹐在那支request請求的程式中加入相關的session_id的cookie﹐你會發現程式是無法識別是不是真正的session的 

曾经有人设计过这样一个系统﹐要我尝试攻入其中某个已管控的页面中。

它是这样做的﹐在每个要权限的aspx页面的page_load中判断Session["userid"]是否为null,如果不是﹐则转向登录页面。

 

在我截获了网络上某个已登录用户和web服务器通讯的requestresponse之后﹐提取其cookie信息﹐交将它放入我的request请求中﹐我就以那个登录用户的身份执行了那支程序了。

 

但是这并不是说就不能使用cookiesession来作为认证的机制﹐我的意思是﹐web应用程序的安全也是相对的﹐必须建立在基本的网络安全和用户安全防范意识之上。可以采取包括加密会关键页面(如登录页面)的会话(例如使用https)或要求用户每次使用完系统后注销或关闭浏览器﹐以及尽可能多的对cookiesession做更多验证等。

 

在认证和授权的原理讲完后﹐要在asp.net应用程序中要完成上述的安全管控其实非常简单﹐设计一个httpmodule﹐然后捕获相关的事件﹐在这个事件中进行权限判断即可。

下面是一些框架代碼﹕

 1      /// <summary>
 2    /// 使用HttpModule模組進行web權限管控
 3    /// </summary>
 4    /// <remarks>
 5    /// 自定義一個HttpModule﹐并在AuthorizeRequest事件中完成授權動作
 6    /// </remarks> 
 7      public   class  WebSecurityModule:IHttpModule
  8      {
 9
10
11
12        /// <summary>
13        /// 在AuthorizeRequest事件中,進行驗証和授權
14        /// </summary>
15        /// <param name="context"></param> 
16        public void Init(HttpApplication context)
17        {
18context.AuthorizeRequest  += new EventHandler(OnAuthorize);
19        }
20            
21        /// <summary>
22        /// 調用PFSAuthorize類進行授權
23        /// </summary>
24        /// <param name="sender"></param>
25        /// <param name="e"></param>
26        /// <remarks>主要是看當前用戶(包括匿名用戶)是否擁有當前Request的url的權限</remarks> 
27        public void OnAuthorize(Object sender,EventArgs e)
28        {
29           //認証﹕提取用戶ID
30            string userid = getuserid();
31           //授權﹕判斷用戶ID是否有URL的權限
32              bool hasright = authroize(userid,HttpContext.Current.Request.Url);
33            if (!hasright)
34            {
35                //進行無權信息返回
36                  //如轉向無權登錄頁面
37                  Response.Redirect("error.aspx");
38            }
39        }
40    }

最后我們只要將這個類封裝成一個單獨的DLL﹐然后在每個web.config的httpmodules節中配置即完成了安全管控

后面的文章我會講如何設計這些模塊達到最好擴展性

 

你可能感兴趣的:(Web应用)

  • “选择最佳数据库解决方案:MySQL、SQL Server 和 PostgreSQL 的比较与实际应用指南“ AMIOKATT 数据库mysqlpostgresql
    目录典型中高端数据库服务器硬件配置CPU内存存储网络操作系统不同数据库系统在上述硬件上的性能表现MySQLPostgreSQLSQLServer具体硬件配置示例示例配置1:中小型Web应用示例配置2:复杂查询和事务处理示例配置3:企业级数据仓库和分析其他优化建议典型中高端数据库服务器硬件配置CPU型号:IntelXeon或AMDEPYC系列核心数:8至32个物理核心(多线程,通常2倍的逻辑核心)主
  • SpringBoot + Vue 前后端分离开发项目源码 左李滢Just
    SpringBoot+Vue前后端分离开发项目源码SpringBootVue前后端分离开发项目源码本仓库提供了一个完整的SpringBoot+Vue前后端分离开发项目的源码。该项目展示了如何使用SpringBoot作为后端框架,Vue作为前端框架,实现前后端分离的开发模式。通过本项目,您可以学习到如何搭建一个高效、可扩展的Web应用架构项目地址:https://gitcode.com/open-s
  • nutzboot框架入门 优人qaq spring
    引言NutzBoot是基于Nutz框架开发的一款轻量级、高效的JavaWeb开发脚手架,它旨在简化JavaWeb应用的开发与部署流程,为开发者提供便捷、高效的开发体验。核心特性自动配置:NutzBoot具备类似于SpringBoot的自动配置功能。它能够依据项目的依赖和配置,自动完成各类组件的初始化与配置。例如,若项目中添加了数据库相关依赖,NutzBoot会自动配置数据源和数据库连接池,极大减少
  • 最受欢迎的WebAssembly Web开发框架:Blazor前端开发 ScriptWELL wasm前端
    WebAssembly(简称Wasm)是一种用于在Web平台上运行高性能代码的二进制格式。它可以在现代Web浏览器中以原生速度执行,并为开发人员提供了使用其他编程语言编写Web应用程序的能力。在WebAssembly的推动下,出现了许多与其兼容的Web开发框架,其中最受欢迎的之一是Blazor。Blazor是一个由微软开发的Web开发框架,它允许开发人员使用C#语言编写前端Web应用程序。Blaz
  • python dash框架 时雨h 数学建模python信息可视化dash数据分析
    Dash是一个用于创建数据分析型web应用的Python框架。它由Plotly团队开发,并且可以用来构建交互式的web应用程序,这些应用能够包含图表、表格、地图等多种数据可视化组件。Dash的特点:易于使用:Dash使用Python语法,对于熟悉Python的用户来说很容易上手。交互性:Dash支持用户交互,例如点击事件、下拉列表选择等。服务器端渲染:Dash应用程序在服务器端渲染,然后将结果发送
  • Web安全:缓存欺骗攻击;基于缓存、CDN的新型Web漏洞 Fly不安全 Web安全基础web安全缓存缓存欺骗攻击NginxCDNweb
    基于缓存、CDN的新型Web漏洞漏洞原理利用方式解决方法Web缓存欺骗漏洞(WebCacheDeception)是一种利用不安全的缓存机制来泄露用户敏感信息的攻击方式。攻击者通过操控请求URL诱导缓存系统将敏感信息缓存并对其他用户公开,可能导致用户数据泄露等严重问题。漏洞原理缓存:现代大多数Web应用会在应用前置CDN或缓存代理,再通过URL来决定是否缓存内容。下面这里放一个Nginx的例子loc
  • 日志收集平台day01:项目设计 intqao 日志收集平台项目linuxkafkazookeepernginxpython
    一、项目需求本项目的目的是模拟生产环境下对web服务器产生的日志进行收集并存入数据库,最终以web应用方式展示日志数据。二、技术选型环境:CentOs7web服务器:nginx/1.20.1(仅测试使用)消息队列:kafka2.12分布式应用程序协调服务软件:zookeeper3.6.3生产者:filebeat-7.17.5-1.x86_64消费者:使用python中的模块pykafka实现消费者
  • 【Tomcat】Tomcat整体架构及其设计精髓分析(上) 金鳞踏雨 图灵课堂学习笔记tomcat架构java容器Servlet
    【Tomcat】Tomcat整体架构及其设计精髓分析(上)一、Tomcat整体架构1.什么是Tomcat2.Servlet详解Servlet接口Servlet容器工作原理Servlet代码实现3.Tomcat的目录结构4.web应用部署的方式(了解)(1)拷贝到webapps目录下(2)server.xml的Context标签下配置Context(3)在/conf/Catalina/localho
  • 第19篇:python高级编程进阶:使用Flask进行Web开发 猿享天开 python从入门到精通python开发语言
    第19篇:python高级编程进阶:使用Flask进行Web开发内容简介在第18篇文章中,我们介绍了Web开发的基础知识,并使用Flask框架构建了一个简单的Web应用。本篇文章将深入探讨Flask的高级功能,涵盖模板引擎(Jinja2)、表单处理、数据库集成以及用户认证等主题。通过系统的讲解和实战案例,您将掌握构建功能更为丰富和复杂的Web应用所需的技能。目录Flask的深入使用Flask扩展蓝
  • 第18篇:python高级编程进阶:Web开发基础详解 猿享天开 python从入门到精通python开发语言
    第18篇:Web开发基础内容简介本篇文章将为您介绍Web开发基础的核心概念和实用技能。您将了解Web开发的基本概念和流程,掌握HTTP协议的基础知识,学习如何使用Flask框架构建简单的Web应用,并深入理解路由与视图函数的工作原理。通过丰富的代码示例和实战案例,您将能够快速入门Web开发,搭建自己的第一个Web应用。目录Web开发概述什么是Web开发前端与后端开发Web开发的技术栈HTTP协议基
  • 深入解析 Python Flask: 架构、应用与实现实例 汪子熙 Pythonpythonflask架构
    Flask是Python生态圈中的一个重要Web框架。它之所以被广泛使用,得益于其轻量、模块化和易于扩展的特点。本文将通过逐步解析PythonFlask的定义、架构、典型应用场景、核心功能模块,以及通过具体实例来展示如何使用Flask构建一个完整的Web应用。每个章节都将带领你深入理解Flask的各个方面,从而为你掌握这门强大工具提供坚实的理论和实践基础。什么是Flask?Flask是一个基于Py
  • Spring Security 入门 后端java
    SpringSecurity是Spring框架中一个功能强大且灵活的安全模块。它为应用程序提供了强大的认证和授权功能,同时支持防止常见的安全攻击(如CSRF和会话固定攻击)。在开发Web应用程序时,理解和配置SpringSecurity是保障系统安全的关键。一、SpringSecurity的核心概念认证(Authentication)认证是指验证用户的身份,即确认用户是谁。SpringSecuri
  • spring webflux 蓝天星空 编程spring
    SpringWebFlux是Spring框架中用于构建响应式(reactive)Web应用的模块。它基于反应式编程模型,旨在提供一种非阻塞、事件驱动的编程方式,以应对高并发和低延迟的需求。以下是SpringWebFlux的主要特点和组成部分:###主要特点1.**非阻塞和异步**:-SpringWebFlux使用非阻塞的I/O操作,能够在高并发情况下保持高性能。-支持异步编程模型,使得应用程序能够
  • JavaScript系列(32)-- WebAssembly集成详解 陳沉辰陈 JavaScriptjavascriptwasmudp
    JavaScriptWebAssembly集成详解今天,让我们深入了解JavaScript与WebAssembly的集成,这是一项能够显著提升Web应用性能的关键技术。WebAssembly基础概念小知识:WebAssembly(简称Wasm)是一种低级的类汇编语言,它具有紧凑的二进制格式,能够以接近原生的速度运行。它被设计为可以和JavaScript一起协同工作,为Web应用提供高性能计算能力。
  • Django 详解 飞滕人生TYF djangosqlite数据库
    Django是一个高级的PythonWeb框架,用于快速开发安全且可维护的Web应用。它遵循“Djangoforperfectionistswithdeadlines”(为有期限的完美主义者设计)的理念,提供了一套完整的工具包,帮助开发者快速构建Web应用。1.Django基础概念1.1什么是Django?Django是一个基于Python的全栈Web框架,具备如下特点:MVC架构(在Django
  • F#语言的Web开发 轩辕烨瑾 包罗万象golang开发语言后端
    F#语言的Web开发F#语言是一种多范式编程语言,基于.NET平台,强调函数式编程,同时也支持面向对象和命令式编程。近年来,随着web应用开发需求的不断增加,F#逐渐受到开发者的关注。本文将深入探讨F#语言在Web开发中的应用,包括语言特点、Web框架的选择、开发流程以及与其他语言和技术的比较等内容。一、F#语言的特点1.1函数式编程F#作为一门函数式编程语言,其核心在于如何用函数来描述计算。在F
  • Gin 框架中间件原理 黑色叉腰丶大魔王 gin中间件
    一、引言在现代Web应用开发中,中间件扮演着至关重要的角色。Gin作为一个流行的Go语言Web框架,其强大的中间件功能使得开发者能够高效地处理各种通用任务,如日志记录、身份验证、错误处理等。理解Gin框架中间件的原理,不仅有助于我们更好地使用Gin进行开发,还能让我们根据实际需求定制出灵活且高效的中间件。二、Gin框架概述Gin是一个用Go语言编写的轻量级Web框架,它以其高性能、简单易用而受到广
  • 登录授权方案:JSON Web Tokens (JWT) Java牛马 javaJWT登录授权授权校验
    登录授权方案:JSONWebTokens(JWT)JWT官方文档:https://jwt.io/introduction1.简介:JWT即jsonwebtokens,通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输,在数据传输过程中还可以完成数据加密、签名等相关处理。可用于登录授权或者其他服务之前的信息交换;JWT本质就是一个字符串,它是一个开放标准(rfc7
  • Yii框架中的表单构建器:构建复杂表单 ac-er8888 服务器运维php开发语言
    Yii框架中的表单构建器(FormBuilder)是一个强大的工具,它允许开发人员以简单、面向对象的方式构建复杂的表单,从而提升Web应用的用户体验。以下是对Yii框架中表单构建器的详细简述,特别是在构建复杂表单方面的应用:一、表单构建器的基础组件介绍:Yii表单构建器是Yii框架中的一个组件,专门用于创建Web表单。它提供了一个简单的、面向对象的编程接口,使得开发人员能够轻松地创建各种常见的表单
  • Spring 3自定义注解与格式化器的深度实践 t0_54manong springpython数据库个人开发
    在Spring框架中,格式化器(Formatter)和注解(Annotation)是处理数据格式化和验证的强大工具。通过将注解与格式化器绑定,我们可以在字段级别灵活地定义数据的格式化规则。本文将通过一个完整的示例,展示如何创建自定义注解、格式化器,并将它们绑定到Spring的AnnotationFormatterFactory中,实现字段级别的数据格式化。一、背景与需求在开发Web应用时,我们经常
  • AWS Elastic Beanstalk HaoHao_010 awsjava云计算服务器云服务器
    AWSElasticBeanstalk是一项由AmazonWebServices(AWS)提供的完全托管的服务,旨在简化和加速应用程序的部署、管理和扩展。通过ElasticBeanstalk,开发者可以轻松地将应用程序发布到AWS云平台,而无需关注底层的基础设施管理,如服务器、负载均衡、扩展等。ElasticBeanstalk为开发人员提供了一个简化的方式来运行Web应用程序和服务,并自动处理许多
  • xss的过滤和绕过(2) rzydal 学习笔记网络安全xss计算机网络
    xss的过滤和绕过分类过滤主要有两层,分别为WAF层和代码层,WAF(web应用防火墙)通常是在外部,在主机或者网络硬件上,对HTTP请求进行过滤拦截,而代码层是在编写web应用的过程中,直接实现或者音乐第三方库,对用户输入进行过滤,但是JavaScript语法非常灵活,所以对于普通的正则匹配,字符串比较,很难拦截xss。1.富文本过滤在发送邮件或者博客的情景下,用户有需求实现富文本的编辑,比如插
  • 文大白话讲清楚Node文件上传 16年上任的CTO nodenode.js文件上传上传文件express上传文件
    文章目录一文大白话讲清楚Node文件上传1.文件上传的整体流程2.客户端文件的上传3.服务器文件接收保存一文大白话讲清楚Node文件上传1.文件上传的整体流程我们在开发Web应用的时候,免不了要上传文件,比如图片,视频等,但是由于浏览器自身的限制,无法直接操作文件系统,需要浏览器自身暴露出一些接口,经过用户授权后才可以访问文件然后文件会被加载到指定内存,在执行完提交请求后,文件又从内存上传到服务器
  • C#编程语言实践:基础知识与项目开发 靠谱电竞
    本文还有配套的精品资源,点击获取简介:C#是微软公司设计的面向对象编程语言,广泛应用于Windows桌面、游戏及Web应用开发。本课程深入探讨C#的基础知识、语法特性、面向对象编程、异常处理等概念,并涉及LINQ查询、异步编程、泛型、委托、事件、接口、匿名方法、Lambda表达式、.NET框架及C#最新版本的特性。此外,课程将介绍调试与性能优化技能,以及代码重构的重要性,以帮助学生建立扎实的C#编
  • Java编程语言最流行的7个框架介绍 xiaoweids 数据库javajavahibernate数据库
    转自:微点阅读https://www.weidianyuedu.com1,SpringMVC在中国有一种说法“生姜仍旧又辛辣”,所以虽然SpringMVC已经发布了十多年,但它仍然强大有力,并且处于领先地位,具有绝对优势。在拥抱完整的MVC框架之后,Spring已经发展并且现在是面向Internet的应用程序的综合Java框架,为软件工程师提供了一个功能强大的工具包,用于Web应用程序开发和安全项
  • 深入探讨Web应用开发:从前端到后端的全栈实践 禁默 前端
    目录引言1.Web应用开发的基本架构2.前端开发技术HTML、CSS和JavaScript前端框架与库响应式设计与移动优先3.后端开发技术Node.js(JavaScript后端)Python(Flask和Django)RubyonRailsJava(SpringBoot)4.数据库选择与管理关系型数据库(SQL)非关系型数据库(NoSQL)5.API设计与开发RESTfulAPIGraphQL6
  • Nginx 缓存机制与优化策略 计算机毕设定制辅导-无忧学长 #Nginxnginx缓存
    一、引言在当今数字化时代,Web应用的性能和用户体验至关重要。Nginx作为一款广泛应用的高性能Web服务器和反向代理服务器,凭借其卓越的稳定性、高效的并发处理能力以及丰富的功能模块,在Web服务器领域占据着举足轻重的地位。根据W3Techs的统计数据,Nginx在全球Web服务器市场份额中名列前茅,被众多知名网站和企业广泛采用。在Web应用的运行过程中,服务器需要频繁地处理大量的请求。如果每次请
  • Flask SSTI注入:探索模板注入漏洞 NfsVerilog flaskpython后端
    简介在Web应用程序开发中,安全性是至关重要的。然而,有时候由于不正确的输入验证或者配置设置,可能会导致安全漏洞的存在。在本文中,我们将探讨一种常见的Web应用程序漏洞——Flask中的SSTI(服务器端模板注入)注入。我们将介绍SSTI注入的原理,展示它的危害,并提供一些防御措施。什么是SSTI注入?SSTI(Server-SideTemplateInjection)注入是一种Web应用程序漏洞
  • python 架构简介(转) weixin_34367845 python数据库
    前言:开发语言python越来越火,作为开发比较火的语言,python对网页等的支持也很好,当你想用python来写网页的时候你就要选择框架了。到底要选择呢什么样子的框架,最适合你的项目能力。介绍:Django:PythonWeb应用开发框架Django应该是最出名的Python框架,GAE甚至Erlang都有框架受它影响。Django是走大而全的方向,它最出名的是其全自动化的管理后台:只需要使用
  • 网络安全渗透测试的八个步骤 披荆斩棘的GG 学习路线Web安全网络安全web安全网络安全
    一、明确目标1.确定范围:测试目标的范畴、ip、网站域名、内外网、检测帐户。2.确定标准:能渗入到何种程度,所花费的时间、能不能改动提交、能不能漏洞利用、这些。3.确定要求:web应用的漏洞、业务逻辑漏洞、工作人员管理权限管理漏洞、这些。二、信息收集1.方法:积极扫描仪,开放搜索等。2.开放搜索:使用百度搜索引擎得到:后台管理、未经授权网页页面、比较敏感url、这些。3.基础信息:IP、子网、网站
  • jvm调优总结(从基本概念 到 深度优化) oloz javajvmjdk虚拟机应用服务器
    JVM参数详解:http://www.cnblogs.com/redcreen/archive/2011/05/04/2037057.html   Java虚拟机中,数据类型可以分为两类:基本类型和引用类型。基本类型的变量保存原始值,即:他代表的值就是数值本身;而引用类型的变量保存引用值。“引用值”代表了某个对象的引用,而不是对象本身,对象本身存放在这个引用值所表示的地址的位置。
  • 【Scala十六】Scala核心十:柯里化函数 bit1129 scala
    本篇文章重点说明什么是函数柯里化,这个语法现象的背后动机是什么,有什么样的应用场景,以及与部分应用函数(Partial Applied Function)之间的联系   1. 什么是柯里化函数 A way to write functions with multiple parameter lists. For instance def f(x: Int)(y: Int) is a
  • HashMap dalan_123 java
    HashMap在java中对很多人来说都是熟的;基于hash表的map接口的非同步实现。允许使用null和null键;同时不能保证元素的顺序;也就是从来都不保证其中的元素的顺序恒久不变。 1、数据结构     在java中,最基本的数据结构无外乎:数组 和 引用(指针),所有的数据结构都可以用这两个来构造,HashMap也不例外,归根到底HashMap就是一个链表散列的数据
  • Java Swing如何实时刷新JTextArea,以显示刚才加append的内容 周凡杨 java更新swingJTextArea
    在代码中执行完textArea.append("message")后,如果你想让这个更新立刻显示在界面上而不是等swing的主线程返回后刷新,我们一般会在该语句后调用textArea.invalidate()和textArea.repaint()。 问题是这个方法并不能有任何效果,textArea的内容没有任何变化,这或许是swing的一个bug,有一个笨拙的办法可以实现
  • servlet或struts的Action处理ajax请求 g21121 servlet
    其实处理ajax的请求非常简单,直接看代码就行了: //如果用的是struts //HttpServletResponse response = ServletActionContext.getResponse(); // 设置输出为文字流 response.setContentType("text/plain"); // 设置字符集 res
  • FineReport的公式编辑框的语法简介 老A不折腾 finereport公式总结
    FINEREPORT用到公式的地方非常多,单元格(以=开头的便被解析为公式),条件显示,数据字典,报表填报属性值定义,图表标题,轴定义,页眉页脚,甚至单元格的其他属性中的鼠标悬浮提示内容都可以写公式。 简单的说下自己感觉的公式要注意的几个地方:   1.if语句语法刚接触感觉比较奇怪,if(条件式子,值1,值2),if可以嵌套,if(条件式子1,值1,if(条件式子2,值2,值3)
  • linux mysql 数据库乱码的解决办法 墙头上一根草 linuxmysql数据库乱码
    linux 上mysql数据库区分大小写的配置 lower_case_table_names=1 1-不区分大小写 0-区分大小写   修改/etc/my.cnf 具体的修改内容如下:   [client] default-character-set=utf8   [mysqld] datadir=/var/lib/mysql socket=/va
  • 我的spring学习笔记6-ApplicationContext实例化的参数兼容思想 aijuans Spring 3
    ApplicationContext能读取多个Bean定义文件,方法是: ApplicationContext appContext = new ClassPathXmlApplicationContext( new String[]{“bean-config1.xml”,“bean-config2.xml”,“bean-config3.xml”,“bean-config4.xml
  • mysql 基准测试之sysbench annan211 基准测试mysql基准测试MySQL测试sysbench
    1 执行如下命令,安装sysbench-0.5: tar xzvf sysbench-0.5.tar.gz  cd sysbench-0.5  chmod +x autogen.sh  ./autogen.sh  ./configure --with-mysql --with-mysql-includes=/usr/local/mysql
  • sql的复杂查询使用案列与技巧 百合不是茶 oraclesql函数数据分页合并查询
      本片博客使用的数据库表是oracle中的scott用户表;          -------------------  自然连接查询           查询 smith 的上司(两种方法) &
  • 深入学习Thread类 bijian1013 javathread多线程java多线程
    一.             线程的名字 下面来看一下Thread类的name属性,它的类型是String。它其实就是线程的名字。在Thread类中,有String getName()和void setName(String)两个方法用来设置和获取这个属性的值。 同时,Thr
  • JSON串转换成Map以及如何转换到对应的数据类型 bijian1013 javafastjsonnet.sf.json
            在实际开发中,难免会碰到JSON串转换成Map的情况,下面来看看这方面的实例。另外,由于fastjson只支持JDK1.5及以上版本,因此在JDK1.4的项目中可以采用net.sf.json来处理。 一.fastjson实例 JsonUtil.java package com.study; impor
  • 【RPC框架HttpInvoker一】HttpInvoker:Spring自带RPC框架 bit1129 spring
    HttpInvoker是Spring原生的RPC调用框架,HttpInvoker同Burlap和Hessian一样,提供了一致的服务Exporter以及客户端的服务代理工厂Bean,这篇文章主要是复制粘贴了Hessian与Spring集成一文,【RPC框架Hessian四】Hessian与Spring集成   在 【RPC框架Hessian二】Hessian 对象序列化和反序列化一文中
  • 【Mahout二】基于Mahout CBayes算法的20newsgroup的脚本分析 bit1129 Mahout
    #!/bin/bash # # Licensed to the Apache Software Foundation (ASF) under one or more # contributor license agreements. See the NOTICE file distributed with # this work for additional information re
  • nginx三种获取用户真实ip的方法 ronin47
    随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户的真实IP地址,如果后端是apache,请跳转到<apache获取用户真实IP地址>,如果是后端真实服务器是nginx,那么继续往下看。 实例环境: 用户IP 120.22.11.11
  • java-判断二叉树是不是平衡 bylijinnan java
    参考了 http://zhedahht.blog.163.com/blog/static/25411174201142733927831/ 但是用java来实现有一个问题。 由于Java无法像C那样“传递参数的地址,函数返回时能得到参数的值”,唯有新建一个辅助类:AuxClass import ljn.help.*; public class BalancedBTree {
  • BeanUtils.copyProperties VS PropertyUtils.copyProperties 诸葛不亮 PropertyUtilsBeanUtils
     BeanUtils.copyProperties VS  PropertyUtils.copyProperties  作为两个bean属性copy的工具类,他们被广泛使用,同时也很容易误用,给人造成困然;比如:昨天发现同事在使用BeanUtils.copyProperties copy有integer类型属性的bean时,没有考虑到会将null转换为0,而后面的业
  • [金融与信息安全]最简单的数据结构最安全 comsci 数据结构
          现在最流行的数据库的数据存储文件都具有复杂的文件头格式,用操作系统的记事本软件是无法正常浏览的,这样的情况会有什么问题呢?        从信息安全的角度来看,如果我们数据库系统仅仅把这种格式的数据文件做异地备份,如果相同版本的所有数据库管理系统都同时被攻击,那么
  • vi区段删除 Cwind linuxvi区段删除
    区段删除是编辑和分析一些冗长的配置文件或日志文件时比较常用的操作。简记下vi区段删除要点备忘。   vi概述    引文中并未将末行模式单独列为一种模式。单不单列并不重要,能区分命令模式与末行模式即可。   vi区段删除步骤: 1. 在末行模式下使用:set nu显示行号 非必须,随光标移动vi右下角也会显示行号,能够正确找到并记录删除开始行
  • 清除tomcat缓存的方法总结 dashuaifu tomcat缓存
    用tomcat容器,大家可能会发现这样的问题,修改jsp文件后,但用IE打开 依然是以前的Jsp的页面。 出现这种现象的原因主要是tomcat缓存的原因。 解决办法如下: 在jsp文件头加上 <meta http-equiv="Expires" content="0"> <meta http-equiv="kiben&qu
  • 不要盲目的在项目中使用LESS CSS dcj3sjt126com Webless
     如果你还不知道LESS CSS是什么东西,可以看一下这篇文章,是我一朋友写给新人看的《CSS——LESS》   不可否认,LESS CSS是个强大的工具,它弥补了css没有变量、无法运算等一些“先天缺陷”,但它似乎给我一种错觉,就是为了功能而实现功能。   比如它的引用功能 ? .rounded_corners{     
  • [入门]更上一层楼 dcj3sjt126com PHPyii2
    更上一层楼 通篇阅读完整个“入门”部分,你就完成了一个完整 Yii 应用的创建。在此过程中你学到了如何实现一些常用功能,例如通过 HTML 表单从用户那获取数据,从数据库中获取数据并以分页形式显示。你还学到了如何通过 Gii 去自动生成代码。使用 Gii 生成代码把 Web 开发中多数繁杂的过程转化为仅仅填写几个表单就行。 本章将介绍一些有助于更好使用 Yii 的资源:
  • Apache HttpClient使用详解 eksliang httpclienthttp协议
    Http协议的重要性相信不用我多说了,HttpClient相比传统JDK自带的URLConnection,增加了易用性和灵活性(具体区别,日后我们再讨论),它不仅是客户端发送Http请求变得容易,而且也方便了开发人员测试接口(基于Http协议的),即提高了开发的效率,也方便提高代码的健壮性。因此熟练掌握HttpClient是很重要的必修内容,掌握HttpClient后,相信对于Http协议的了解会
  • zxing二维码扫描功能 gundumw100 androidzxing
    经常要用到二维码扫描功能 现给出示例代码 import com.google.zxing.WriterException; import com.zxing.activity.CaptureActivity; import com.zxing.encoding.EncodingHandler; import android.app.Activity; import an
  • 纯HTML+CSS带说明的黄色导航菜单 ini htmlWebhtml5csshovertree
    HoverTree带说明的CSS菜单:纯HTML+CSS结构链接带说明的黄色导航   在线体验效果:http://hovertree.com/texiao/css/1.htm代码如下,保存到HTML文件可以看到效果:   <!DOCTYPE html > <html > <head> <title>HoverTree
  • fastjson初始化对性能的影响 kane_xie fastjson序列化
    之前在项目中序列化是用thrift,性能一般,而且需要用编译器生成新的类,在序列化和反序列化的时候感觉很繁琐,因此想转到json阵营。对比了jackson,gson等框架之后,决定用fastjson,为什么呢,因为看名字感觉很快。。。   网上的说法:   fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。
  • 基于Mybatis封装的增删改查实现通用自动化sql mengqingyu DAO
    1.基于map或javaBean的增删改查可实现不写dao接口和实现类以及xml,有效的提高开发速度。 2.支持自定义注解包括主键生成、列重复验证、列名、表名等 3.支持批量插入、批量更新、批量删除 <bean id="dynamicSqlSessionTemplate" class="com.mqy.mybatis.support.Dynamic
  • js控制input输入框的方法封装(数字,中文,字母,浮点数等) qifeifei javascript js
    在项目开发的时候,经常有一些输入框,控制输入的格式,而不是等输入好了再去检查格式,格式错了就报错,体验不好。 /** 数字,中文,字母,浮点数(+/-/.) 类型输入限制,只要在input标签上加上 jInput="number,chinese,alphabet,floating" 备注:floating属性只能单独用*/     funct
  • java 计时器应用 tangqi609567707 javatimer
    mport java.util.TimerTask;   import java.util.Calendar;   public class MyTask extends TimerTask {        private static final int
  • erlang输出调用栈信息 wudixiaotie erlang
    在erlang otp的开发中,如果调用第三方的应用,会有有些错误会不打印栈信息,因为有可能第三方应用会catch然后输出自己的错误信息,所以对排查bug有很大的阻碍,这样就要求我们自己打印调用的栈信息。用这个函数:erlang:process_display (self (), backtrace).需要注意这个函数只会输出到标准错误输出。 也可以用这个函数:erlang:get_s
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他