flowerwrong
flowerwrong

rubygems.org guides 翻译七(安全)

目录

1.梗概

2.使用gem

3.构建gem

4.报告安全漏洞

 

一、梗概

安装一个gem后,允许你在你的app作用域中运行gem代码。同时他也暗指,如果你在gem server上安装了一个恶意的gem,那么你的server将被渗透。因此,gem的安全也是ruby社区经常讨论的一个主题。

rubygems已经有能力 cryptographically sign gems (加密签名gem)自从 version 0.8.11,这个签名使用gem cert产生一对秘钥,然后打包签名信息到gem中。gem install命令提供了一个可选的安全策略选项,使你可以在安装gem之前验证gem的签名。

然而,安全加密gem的方式并没有广泛使用。他需要许多 manual steps on the part of the developer,而且目前还没有一个完善的方式来验证gem的签名。新的签名模型例如X509 and OpenPGP可以去 rubygems-trust wiki, the RubyGems-Developers list and in IRC.

他的目标是改善签名系统,使之更加简单、透明。

 

二、使用gem

使用信任策略安装gem

  • gem install gemname -P HighSecurity: All dependent gems must be signed and verified.

  • gem install gemname -P MediumSecurity: All signed dependent gems must be verified.

  • bundle --trust-policy MediumSecurity: Same as above, except Bundler only recognizes the long --trust-policy flag, not the short -P.

  • Caveat: Gem certificates are trusted globally, such that adding a cert.pem for one gem automatically trusts all gems signed by that cert.

验证checksum

gem fetch gemname -v version
ruby -rdigest/sha2 -e "puts Digest::SHA512.new.hexdigest(File.read('gemname-version.gem'))

Know the risks of being pwned, as described by Benjamin Smith’s Hacking with Gems talk

 

 

三、构建gem

使用gem cert命令签名

1.创建自己的签名证书

cd ~/.ssh
gem cert --build [email protected]
chmod 600 gem-p*

使用你gemspecs中的邮箱

2.配置gemspec with cert

添加证书公钥到你的仓库

cd /path/to/your/gem
mkdir certs
cp ~/.ssh/gem-public_cert.pem certs/yourhandle.pem
git add certs/yourhandle.pem
添加证书路径到gemspec 
s.cert_chain  = ['certs/yourhandle.pem']
s.signing_key = File.expand_path("~/.ssh/gem-private_key.pem") if $0 =~ /gem\z/
3.Add your own cert to your approved list, 如下 
gem cert --add certs/yourhandle.pem
4.编译、测试gem以便安装它 
gem build gemname.gemspec
gem install gemname-version.gem -P HighSecurity
# or -P MediumSecurity if your gem depends on unsigned gems
5.Example text for installation documentation

MetricFu is cryptographically signed(加密签名方式)。 确定你安装的gem没有被 tampered(篡改) with:

添加公钥作为可信任的证书

gem cert --add <(curl -Ls https://raw.github.com/metricfu/metric_fu/master/certs/bf4.pem)

gem install metric_fu -P MediumSecurity

The MediumSecurity trust profile 会验证签名的gems, 但是允许安装未签名的依赖.

这是必须的,因为不是所有的 MetricFu’s 依赖都签名了,所以不能使用 HighSecurity。

引入release gem的checksum到你的仓库中 
require 'digest/sha2'
built_gem_path = 'pkg/gemname-version.gem'
checksum = Digest::SHA512.new.hexdigest(File.read(built_gem_path))
checksum_path = 'checksum/gemname-version.gem.sha512'
File.open(checksum_path, 'w' ) {|f| f.write(checksum) }
# add and commit 'checksum_path'
OpenPGP不建议使用,因为没有被支持。

is not recommended due to lack of support.请查看 with Yorick Peterse.

四、报告安全漏洞

1.报告他人gem的安全漏洞

如果了发现了某人的gem存在安全漏洞,第一步就是检查他是否一个已知的漏洞。

如果是一个未被发现的漏洞,你可以私下联系作者,尽量不要pull request或者issue在开源的项目中,解释这个漏洞,并提供解决方案。

 

2.报告自己gem的安全漏洞

首先request a CVE identifier by mailing [email protected]。这个identifier指明这个漏洞在讨论中具有唯一性。

然后找出哪些人使用了你的gem,需要解决这个漏洞。这样牵涉到更新一补丁,并建议他们更新。

最后,你需要告知人们这个漏洞,目前没有很好的地方来发布这些漏洞信息,但是你可以使用以下这些方案:

  • 发送一封邮件到 Ruby Talk mailing list ([email protected]) ,主题 prefix [ANN][Security] outlining the vulnerabilty, which versions of your gem it affects and what actions those depending on the gem should take.

  • 把他添加到开源漏洞数据库,例如 OSVDB。You can do this by emailing [email protected] and/or messaging @osvdb on GitHub or Twitter.

 

五、扩展阅读

Several sources were used for content for this guide:

 

 

你可能感兴趣的:(gem安全)

  • 本地部署DeepSeek + AnythingLLM 搭建高效安全的个人知识库 Chhjnavy AIDeepSeek大模型本地知识库协同工作
    环境准备:本地部署方案请参考博客:windows平台本地部署DeepSeek大模型+OpenWebUI网页界面(可以离线使用)-CSDN博客windows平台本地部署DeepSeek大模型+Chatbox界面(可以离线使用)-CSDN博客根据本人电脑配置:windows11+i9-13900HX+RTX4060+DDR5560032G内存确定搭建方案:DeepSeek-R1:7b+Ollama+A
  • AI智能碰碰卡/碰一碰发视频源码如何开发接入 张晓_za898668 碰一碰碰碰卡碰碰卡源码音视频矩阵linuxc语言c#
    一、智能碰碰卡系统技术能力如何接入?使用场景需要用户授权后,才能调用相应的权限接口。例如:视频权限、用户权限等。背景信息网站应用抖音登录是基于OAuth2.0协议标准构建的授权登录系统,让抖音用户可以使用抖音账号身份安全登录第三方应用或网站,在抖音用户授权登录第三方网站应用后,第三方可以获取到用户的接口调用凭证(access_token),通过access_token可以进行抖音开放平台授权关系接
  • 高通Linux安全指南(二) weixin_38498942 linux安全Qualcomm
    功能高通TEE增强了安全功能及其扩展。它提供了接口,允许通过受信任应用程序(TA)扩展安全功能集。某些功能集成在硬件支持的TZ架构中,提供了一种系统安全配置。这些功能可以进一步定制以满足特定需求。有关高通TEE和安全组件的信息,请参阅高通TEE和架构。在本全面教程中,解锁在高通设备上安全启动技术的全部潜力。从生成加密密钥到编程硬件熔断器和管理安全启动状态,本视频详细介绍了每个步骤。适合希望通过认证
  • LLaMA系列大模型调研与整理-llama-alpaca-lora AI大模型-大飞 llamaAI大模型AI职场和发展人工智能
    文章目录LLaMA大模型及其衍生模型1.LLaMA2.stanford_alpaca3.ChatDoctor4.alpaca-lora5.Chinese-LLaMA-Alpaca6.BELLE大模型综述ASurveyofLargeLanguageModels关键词:大模型,LLaMA,Alpaca,Lora,Belle,模型训练,模型微调,指令微调最近尝试在领域数据进行生成式大模型的再训练和微调,
  • 使用 SCP 命令在 Linux/Debian/Ubuntu 终端中进行文件远程传输 理工男老K ubuntulinux运维
    使用SCP命令在Linux/Debian/Ubuntu终端中进行文件远程传输SCP(SecureCopyProtocol,安全复制协议)是一种命令行实用程序,允许你通过网络在两个主机之间安全地传输文件。它使用SSH(SecureShell,安全外壳协议)进行身份验证和加密,确保传输的数据安全。SCP的基本语法SCP命令的基本语法如下:scp[选项][源文件][目标位置]示例将文件从本地系统复制到远
  • SQL注入技术详解与过滤绕过方法 Cyc1e sql数据库web安全网络
    SQL注入技术详解与过滤绕过方法1.什么是SQL注入?SQL注入(SQLInjection)是一种常见的Web安全漏洞,指攻击者将恶意的SQL代码插入到应用程序的输入字段中,并通过应用程序发送到数据库进行执行,进而对数据库进行未授权操作。其可能导致敏感数据泄露、篡改、删除等严重后果。1.1SQL注入的工作原理SQL注入的核心在于,攻击者通过操控输入字段,使服务器端的SQL查询语句发生意料之外的变化
  • Linux安全与密钥登录指南,零基础入门到精通,收藏这篇就够了 网安导师小李 程序员编程网络安全linux安全运维web安全网络服务器计算机网络
    在使用Linux服务器时,确保服务器的安全至关重要。本文将为你介绍一些关键的Linux安全措施,包括开启密钥登录、查看登录日志、限制登录IP以及查看系统中能够登录的账号。以下内容适合小白用户,通过简单的操作就能有效提升服务器的安全性。目录Linux安全概述密钥登录的配置生成密钥对配置SSH密钥登录查看登录日志限制IP访问设置IP封禁允许特定IP访问查看系统可登录的账号1.Linux安全概述Linu
  • 亚远景-ISO/PAS 8800:2024《道路车辆—安全和人工智能》简介 亚远景aspice 汽车人工智能大数据
    ISO/PAS8800:2024《道路车辆—安全和人工智能》简介:ISO/PAS8800:2024《道路车辆—安全和人工智能》背景与意义随着汽车智能化发展,自动驾驶和智能座舱等技术快速进步,但人工智能在汽车领域应用面临安全性、数据质量与管理、技术标准规范缺失、公众认知和接受度等挑战。该标准旨在规范汽车领域人工智能技术应用,提高系统安全性、可靠性和兼容性,推动汽车智能化健康发展。ISO/PAS880
  • 亚远景-ASPICE与ISO 26262:汽车软件开发与功能安全的协同作用 亚远景aspice 汽车
    ASPICE(汽车软件过程改进和能力确定)和ISO26262都是与汽车行业相关的标准,但它们关注的领域不同。下面简要介绍它们之间的关系:1.ASPICE:这是一个框架,用于改进和评估汽车软件开发和维护的过程。ASPICE覆盖了整个软件生命周期,包括需求收集、设计、实现、测试、维护等。它提供了度量标准,以评估和提高软件开发过程的质量。2.ISO26262:这是一个针对汽车行业的功能安全标准,它确保汽
  • 51-54 CVPR 2024 | DrivingGaussian:周围动态自动驾驶场景的复合高斯飞溅( Sora能制作动作大片还需要一段时间 ) 深圳季连AIgraphX aiXpilot智驾大模型1自动驾驶AIGCstablediffusion智慧城市计算机视觉
    24年3月,北大、谷歌和加州大学共同发布了DrivingGaussian:CompositeGaussianSplattingforSurroundingDynamicAutonomousDrivingScenes。视图合成和可控模拟可以生成自动驾驶的极端场景CornerCase,这些安全关键情况有助于以更低成本验证和增强自动驾驶系统安全性。DrivingGaussian采用复合高斯飞溅进行全局渲
  • AIGC遇上Stable Diffusion:当创意邂逅精准,绘梦成真之旅 DTcode7 AI生产力AIAIGCstablediffusionAI生产力前沿
    AIGC遇上StableDiffusion:当创意邂逅精准,绘梦成真之旅AIGC:创意的魔杖,还是技术的魔法?基本概念与魔法起源作用说明:从想象到像素的跨越StableDiffusion实战演练:像素炼金术士的秘籍案例一:像素画师初体验案例二:风格迁移的魔法深入探索:多维度功能使用实战开发技巧与避坑指南技巧一:性能优化避坑:图像模糊或失真安全防范:避免生成有害内容结语:未来已来,梦想无界在这个数字
  • 中华人民共和国网络安全笔记 _DT9825 笔记
    《中华人民共和国网络安全法》的考试要点总结一、基础信息1.立法时间-2016年11月7日通过,2017年6月1日起施行。2.立法目的-保障网络安全,维护网络空间主权、国家安全和社会公共利益,保护公民、法人合法权益。3.适用范围-在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理。二、重点章节与核心内容第一章总则1.基本原则-网络安全与信息化发展并重,坚持积极利用、科学发展、依法管理、确保
  • python使用SQLAlchemy进行mysql的ORM操作 Lucas在澳洲 Pythonpythonmysql开发语言1024程序员节
    SQLAlchemy是什么SQLAlchemy是一个强大的PythonORM(对象关系映射)库,用于简化与关系型数据库的交互。通过将数据库表映射为Python类,SQLAlchemy使得开发者能够通过面向对象的方式来进行数据库操作,避免了直接使用SQL语句所带来的复杂性和安全风险。1.为什么使用ORM使用ORM具有以下优势:避免SQL注入:通过使用参数化查询,ORM可以有效地防止SQL注入攻击。可
  • 安全面试1 白初& 面试题目总结安全面试网络
    目录渗透的流程信息收集如何处理子域名爆破的泛解析问题泛解析判断泛解析的存在处理泛解析的策略如何绕过CDN查找真实ipphpinfo中常见的敏感信息权限维持Windows权限维持Linux权限维持技术跨平台权限维持技术检测和防御输出到href的XSS如何防御samesite防御CSRF的原理SameSite的工作原理CSRF防御json格式的CSRF如何防御浏览器解析顺序和解码顺序解析顺序解码顺序过
  • 本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程 elecfan2011 人工智能
    前言在数据安全和隐私保护需求日益增长的今天,本地化部署AI知识库成为企业/开发者的首选方案。本文将手把手教你如何通过Ollama(模型管理工具)、DeepSeek-R1(国产开源大模型)和AnythingLLM(知识库管理平台),搭建一套完全本地运行的智能问答系统。全程无需联网,数据100%私有化!目录环境准备与工具安装部署DeepSeek-R1模型配置AnythingLLM知识库平台构建本地知识
  • 泛型和通配符详解 重生之我在成电转码 java开发语言
    在Java中,**泛型(Generics)和通配符(Wildcard)**是用于增强类型安全性和代码复用的强大特性。它们允许类、接口和方法在定义时不指定具体类型,而是在使用时指定类型参数。通过泛型和通配符,Java可以在编译时进行类型检查,从而避免运行时错误。下面我将详细解释这两个概念,包括其用法、区别、以及各种常见的模式。1.泛型(Generics)泛型是一种在定义类、接口或方法时使用类型参数的
  • 华为云OBS配置方法 芊言凝语 数据库网络服务器
    华为云对象存储服务(ObjectStorageService,OBS)是一种海量、安全、低成本、高可靠的云存储服务。以下是华为云OBS配置的详细步骤及相关说明:创建OBS桶登录华为云控制台后,在搜索框中输入“对象存储服务”,选择对应的服务进入OBS管理页面。点击“创建桶”按钮,进入创建桶的配置页面。基本信息桶名称:输入一个全局唯一的桶名称,例如可以采用项目名称或业务名称相关的命名方式,方便识别和管
  • 深入解析LangChain4j中的ChatLanguageModel API:从基础到高级应用 泰山AI 精品专栏microsoftlangchain4jjavaai
    聊天与语言模型|LangChain4j注意本页描述的是低级别的LLMAPI。有关高级LLMAPI,请参见AIServices。支持的所有LLMProviderStreamingTools(sync/streaming)JSONSchemaJSONModeSupportedModalities(Input)ObservabilityLocalDeploymentSupportsNativeImage
  • 获得周公解梦数据接口java_周公解梦接口调用示例 任重道远doing 获得周公解梦数据接口java
    packagemainimport("io/ioutil""net/http""net/url""fmt""encoding/json")//----------------------------------//周公解梦调用示例代码-聚合数据//在线接口文档:http://www.juhe.cn/docs/64//----------------------------------constAP
  • chrome浏览器如何多开-EasyBR一键多开 天丁 chrome前端谷歌浏览器多开
    在网上寻找关于Chrome浏览器多开的教程时,你可能会发现操作相对复杂。然而,最近我发现了一个名为EasyBR浏览器的工具,作者使用程序将繁琐的步骤简化了。主要功能EasyBR浏览器具有以下主要功能:批量账号管理:可以轻松管理多个账号,方便切换和管理不同的用户身份。独立IP分配:每个账号可以分配独立的IP地址,提高账号的隐私性和安全性。账号防关联:通过多开浏览器,可以有效避免账号之间的关联性,保护
  • IM 即时通讯系统-06-聊一聊 IM 要如何保证扩展性? 后端java
    IM系列聊一聊IM是什么?IM即时通讯系统概览聊一聊IM要如何设计?聊一聊IM要如何设计功能模块?聊一聊IM要如何进行架构设计?聊一聊IM要如何进行技术选型?聊一聊IM要如何保证安全性?聊一聊IM要如何保证扩展性?聊一聊IM要如何实现运维与监控?聊一聊IM要如何提升用户体验?聊一聊IM要如何进行测试与部署?聊一聊IM要如何编写文档+技术支持?聊一聊IM要如何打造差异化?聊一聊如何优化硬件聊一聊如何
  • 编程行业必备!12个热门AI工具帮你写代码~ 人工智能
    到今年,AI编程工具的发展已经非常成熟了,它们可以极大地提高开发效率,帮助程序员解决复杂问题,并优化代码质量。拒绝废话,今天给大家推荐12款AI编程工具!1悬镜安全灵脉AI开发安全卫士灵脉AI开发安全卫士是基于多模智能引擎的新一代静态代码安全扫描产品,通过自动化审查流程来定位潜在缺陷、提升审计效率和代码质量,并显著减少手动审查所需的时间和精力。该平台利用人工智能技术,提供逐行的代码反馈,建议改进和
  • Databases for Management Information Systems 后端
    DatabasesforManagementInformationSystemsAssignment1AssignmentType:PercentageofModuleMark:DueDate:Title:TheDevelopmentandroleofDatabaseManagementSystemsaspartoftheDecision-MakingIndividualReportandDBMS
  • 深入了解国外代理IP地址和端口的应用与优势 web3
    国外代理IP地址和端口是用于在网络上隐藏真实身份的重要工具。它们通过中转服务器来实现数据传输,从而使用户能够在浏览网页时保持匿名。使用国外代理IP地址和端口,不仅可以保护个人隐私,还能访问一些特定地区的内容,这在某些情况下尤为重要。这种技术的广泛应用,使得许多用户在日常生活中都能享受到更为安全和便捷的网络体验。什么是国外代理IP地址和端口?简单来说,国外代理IP地址就是一个位于其他国家的服务器的网
  • 已解决——如何让网站实现HTTPS访问?
    已解决——如何让网站实现HTTPS访问?随着网络安全的日益重要,越来越多的网站开始转向HTTPS协议,而不是传统的HTTP协议。HTTPS不仅能加密用户与网站之间的通信,还能提高网站的信任度和SEO排名。1.获取SSL证书为了启用HTTPS,首先需要为您的网站获取一个SSL证书。SSL证书是实现HTTPS加密的关键,确保所有通过浏览器访问您网站的数据都受到加密保护。免费SSL证书:如果您的预算有限
  • 2025年网络安全(黑客技术)三个月自学手册 csbDD web安全安全网络pythonlinux网络安全密码学
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包前言什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习
  • 2024年网络安全(黑客技术)三个月自学手册 csbDD web安全安全网络
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包前言什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习
  • 2024年网络安全(黑客技术)三个月自学手册 csbDD web安全安全网络
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包前言什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习
  • 最新河马剧场全自动挂机项目 2501_90701284 其他经验分享
    河马剧场助手是一款支持多账号操作的自动化工具以下是该项目的详细介绍:一、项目概述河马剧场助手支持多账号操作,推荐使用雷电模拟器进行多开,通过自动化操作,用户可以轻松完成新人签到领金币、每日签到、开宝箱、看剧领金币和逛街等任务,同时支持自动养号功能,确保账号的稳定性和安全性。二、核心功能(一)新人签到领金币(二)每日签到(三)开宝箱(四)看剧领金币(五)逛街(六)自动养号河马剧场助手支持自动养号功能
  • MySQL的binlog日志 mysql
    binlog基本认识MySQL的二进制日志可以说是MySQL最重要的日志了,它记录了所有的DDL和DML(除了数据查询语句)语句,以事件形式记录,还包含语句所执行的消耗的时间,MySQL的二进制日志是事务安全型的。一般来说开启二进制日志大概会有1%的性能损耗(参见MySQL官方中文手册5.1.24版)。二进制有两个最重要的使用场景:其一:MySQLReplication在Master端开启binl
  • 矩阵求逆(JAVA)利用伴随矩阵 qiuwanchi 利用伴随矩阵求逆矩阵
    package gaodai.matrix; import gaodai.determinant.DeterminantCalculation; import java.util.ArrayList; import java.util.List; import java.util.Scanner; /** * 矩阵求逆(利用伴随矩阵) * @author 邱万迟
  • 单例(Singleton)模式 aoyouzi 单例模式Singleton
    3.1           概述 如果要保证系统里一个类最多只能存在一个实例时,我们就需要单例模式。这种情况在我们应用中经常碰到,例如缓存池,数据库连接池,线程池,一些应用服务实例等。在多线程环境中,为了保证实例的唯一性其实并不简单,这章将和读者一起探讨如何实现单例模式。 3.2
  • [开源与自主研发]就算可以轻易获得外部技术支持,自己也必须研发 comsci 开源
          现在国内有大量的信息技术产品,都是通过盗版,免费下载,开源,附送等方式从国外的开发者那里获得的。。。。。。        虽然这种情况带来了国内信息产业的短暂繁荣,也促进了电子商务和互联网产业的快速发展,但是实际上,我们应该清醒的看到,这些产业的核心力量是被国外的
  • 页面有两个frame,怎样点击一个的链接改变另一个的内容 Array_06 UIXHTML
    <a src="地址"  targets="这里写你要操作的Frame的名字" />搜索 然后你点击连接以后你的新页面就会显示在你设置的Frame名字的框那里 targerts="",就是你要填写目标的显示页面位置 ===================== 例如: <frame src=&
  • Struts2实现单个/多个文件上传和下载 oloz 文件上传struts
    struts2单文件上传:     步骤01:jsp页面 <!--在进行文件上传时,表单提交方式一定要是post的方式,因为文件上传时二进制文件可能会很大,还有就是enctype属性,这个属性一定要写成multipart/form-data,不然就会以二进制文本上传到服务器端-->   <form action="fileUplo
  • 推荐10个在线logo设计网站 362217990 logo
    在线设计Logo网站。 1、http://flickr.nosv.org(这个太简单) 2、http://www.logomaker.com/?source=1.5770.1 3、http://www.simwebsol.com/ImageTool 4、http://www.logogenerator.com/logo.php?nal=1&tpl_catlist[]=2 5、ht
  • jsp上传文件 香水浓 jspfileupload
    1. jsp上传 Notice: 1. form表单 method 属性必须设置为 POST 方法 ,不能使用 GET 方法 2. form表单 enctype 属性需要设置为 multipart/form-data 3. form表单 action 属性需要设置为提交到后台处理文件上传的jsp文件地址或者servlet地址。例如 uploadFile.jsp 程序文件用来处理上传的文
  • 我的架构经验系列文章 - 前端架构 agevs JavaScriptWeb框架UIjQuer
    框架层面:近几年前端发展很快,前端之所以叫前端因为前端是已经可以独立成为一种职业了,js也不再是十年前的玩具了,以前富客户端RIA的应用可能会用flash/flex或是silverlight,现在可以使用js来完成大部分的功能,因此js作为一门前端的支撑语言也不仅仅是进行的简单的编码,越来越多框架性的东西出现了。越来越多的开发模式转变为后端只是吐json的数据源,而前端做所有UI的事情。MVCMV
  • android ksoap2 中把XML(DataSet) 当做参数传递 aijuans android
    我的android app中需要发送webservice ,于是我使用了 ksop2 进行发送,在测试过程中不是很顺利,不能正常工作.我的web service 请求格式如下     [html]  view plain copy   <Envelope xmlns="http://schemas.
  • 使用Spring进行统一日志管理 + 统一异常管理 baalwolf spring
    统一日志和异常管理配置好后,SSH项目中,代码以往散落的log.info() 和 try..catch..finally 再也不见踪影! 统一日志异常实现类: [java]  view plain copy   package com.pilelot.web.util;      impor
  • Android SDK 国内镜像 BigBird2012 android sdk
    一、镜像地址: 1、东软信息学院的 Android SDK 镜像,比配置代理下载快多了。 配置地址, http://mirrors.neusoft.edu.cn/configurations.we#android 2、北京化工大学的: IPV4:ubuntu.buct.edu.cn  IPV4:ubuntu.buct.cn IPV6:ubuntu.buct6.edu.cn
  • HTML无害化和Sanitize模块 bijian1013 JavaScriptAngularJSLinkySanitize
    一.ng-bind-html、ng-bind-html-unsafe         AngularJS非常注重安全方面的问题,它会尽一切可能把大多数攻击手段最小化。其中一个攻击手段是向你的web页面里注入不安全的HTML,然后利用它触发跨站攻击或者注入攻击。         考虑这样一个例子,假设我们有一个变量存
  • [Maven学习笔记二]Maven命令 bit1129 maven
    mvn compile compile编译命令将src/main/java和src/main/resources中的代码和配置文件编译到target/classes中,不会对src/test/java中的测试类进行编译 MVN编译使用 maven-resources-plugin:2.6:resources maven-compiler-plugin:2.5.1:compile &nbs
  • 【Java命令二】jhat bit1129 Java命令
    jhat用于分析使用jmap dump的文件,,可以将堆中的对象以html的形式显示出来,包括对象的数量,大小等等,并支持对象查询语言。 jhat默认开启监听端口7000的HTTP服务,jhat是Java Heap Analysis Tool的缩写 1. 用法: [hadoop@hadoop bin]$ jhat -help Usage: jhat [-stack <bool&g
  • JBoss 5.1.0 GA:Error installing to Instantiated: name=AttachmentStore state=Desc ronin47
    进到类似目录 server/default/conf/bootstrap,打开文件 profile.xml找到: Xml代码<bean    name="AttachmentStore"  class="org.jboss.system.server.profileservice.repository.AbstractAtta
  • 写给初学者的6条网页设计安全配色指南 brotherlamp UIui自学ui视频ui教程ui资料
    网页设计中最基本的原则之一是,不管你花多长时间创造一个华丽的设计,其最终的角色都是这场秀中真正的明星——内容的衬托     我仍然清楚地记得我最早的一次美术课,那时我还是一个小小的、对凡事都充满渴望的孩子,我摆放出一大堆漂亮的彩色颜料。我仍然记得当我第一次看到原色与另一种颜色混合变成第二种颜色时的那种兴奋,并且我想,既然两种颜色能创造出一种全新的美丽色彩,那所有颜色
  • 有一个数组,每次从中间随机取一个,然后放回去,当所有的元素都被取过,返回总共的取的次数。写一个函数实现。复杂度是什么。 bylijinnan java算法面试
    import java.util.Random; import java.util.Set; import java.util.TreeSet; /** * http://weibo.com/1915548291/z7HtOF4sx * #面试题#有一个数组,每次从中间随机取一个,然后放回去,当所有的元素都被取过,返回总共的取的次数。 * 写一个函数实现。复杂度是什么
  • struts2获得request、session、application方式 chiangfai application
    1、与Servlet API解耦的访问方式。 a.Struts2对HttpServletRequest、HttpSession、ServletContext进行了封装,构造了三个Map对象来替代这三种对象要获取这三个Map对象,使用ActionContext类。 ----->   package pro.action; import java.util.Map; imp
  • 改变python的默认语言设置 chenchao051 python
    import sys sys.getdefaultencoding()  可以测试出默认语言,要改变的话,需要在python lib的site-packages文件夹下新建: sitecustomize.py, 这个文件比较特殊,会在python启动时来加载,所以就可以在里面写上: import sys sys.setdefaultencoding('utf-8') &n
  • mysql导入数据load data infile用法 daizj mysql导入数据
    我们常常导入数据!mysql有一个高效导入方法,那就是load data infile 下面来看案例说明 基本语法: load data  [low_priority] [local] infile 'file_name txt' [replace | ignore] into table tbl_name [fields [terminated by't'] [OPTI
  • phpexcel导入excel表到数据库简单入门示例 dcj3sjt126com PHPExcel
    跟导出相对应的,同一个数据表,也是将phpexcel类放在class目录下,将Excel表格中的内容读取出来放到数据库中 <?php error_reporting(E_ALL); set_time_limit(0); ?> <html> <head> <meta http-equiv="Content-Type"
  • 22岁到72岁的男人对女人的要求 dcj3sjt126com
    22岁男人对女人的要求是:一,美丽,二,性感,三,有份具品味的职业,四,极有耐性,善解人意,五,该聪明的时候聪明,六,作小鸟依人状时尽量自然,七,怎样穿都好看,八,懂得适当地撒娇,九,虽作惊喜反应,但看起来自然,十,上了床就是个无条件荡妇。 32岁的男人对女人的要求,略作修定,是:一,入得厨房,进得睡房,二,不必服侍皇太后,三,不介意浪漫蜡烛配盒饭,四,听多过说,五,不再傻笑,六,懂得独
  • Spring和HIbernate对DDM设计的支持 e200702084 DAO设计模式springHibernate领域模型
    A:数据访问对象     DAO和资源库在领域驱动设计中都很重要。DAO是关系型数据库和应用之间的契约。它封装了Web应用中的数据库CRUD操作细节。另一方面,资源库是一个独立的抽象,它与DAO进行交互,并提供到领域模型的“业务接口”。    资源库使用领域的通用语言,处理所有必要的DAO,并使用领域理解的语言提供对领域模型的数据访问服务。
  • NoSql 数据库的特性比较 geeksun NoSQL
    Redis 是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。目前由VMware主持开发工作。   1. 数据模型 作为Key-value型数据库,Redis也提供了键(Key)和值(Value)的映射关系。除了常规的数值或字符串,Redis的键值还可以是以下形式之一: Lists (列表) Sets
  • 使用 Nginx Upload Module 实现上传文件功能 hongtoushizi nginx
    转载自: http://www.tuicool.com/wx/aUrAzm   普通网站在实现文件上传功能的时候,一般是使用Python,Java等后端程序实现,比较麻烦。Nginx有一个Upload模块,可以非常简单的实现文件上传功能。此模块的原理是先把用户上传的文件保存到临时文件,然后在交由后台页面处理,并且把文件的原名,上传后的名称,文件类型,文件大小set到页面。下
  • spring-boot-web-ui及thymeleaf基本使用 jishiweili springthymeleaf
    视图控制层代码demo如下:   @Controller @RequestMapping("/") public class MessageController { private final MessageRepository messageRepository; @Autowired public MessageController(Mes
  • 数据源架构模式之活动记录 home198979 PHP架构活动记录数据映射
    hello!架构 一、概念 活动记录(Active Record):一个对象,它包装数据库表或视图中某一行,封装数据库访问,并在这些数据上增加了领域逻辑。 对象既有数据又有行为。活动记录使用直截了当的方法,把数据访问逻辑置于领域对象中。   二、实现简单活动记录 活动记录在php许多框架中都有应用,如cakephp。 <?php /** * 行数据入口类 *
  • Linux Shell脚本之自动修改IP pda158 linuxcentosDebian脚本
    作为一名 Linux SA,日常运维中很多地方都会用到脚本,而服务器的ip一般采用静态ip或者MAC绑定,当然后者比较操作起来相对繁琐,而前者我们可以设置主机名、ip信息、网关等配置。修改成特定的主机名在维护和管理方面也比较方便。如下脚本用途为:修改ip和主机名等相关信息,可以根据实际需求修改,举一反三! #!/bin/sh #auto Change ip netmask ga
  • 开发环境搭建 独浮云 eclipsejdktomcat
           最近在开发过程中,经常出现MyEclipse内存溢出等错误,需要重启的情况,好麻烦。对于一般的JAVA+TOMCAT项目开发,其实没有必要使用重量级的MyEclipse,使用eclipse就足够了。尤其是开发机器硬件配置一般的人。         &n
  • 操作日期和时间的工具类 vipbooks 工具类
       大家好啊,好久没有来这里发文章了,今天来逛逛,分享一篇刚写不久的操作日期和时间的工具类,希望对大家有所帮助。 /* * @(#)DataFormatUtils.java 2010-10-10 * * Copyright 2010 BianJing,All rights reserved. */ package test; impor
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他