flowerwrong
flowerwrong

rubygems.org guides 翻译七(安全)

目录

1.梗概

2.使用gem

3.构建gem

4.报告安全漏洞

 

一、梗概

安装一个gem后,允许你在你的app作用域中运行gem代码。同时他也暗指,如果你在gem server上安装了一个恶意的gem,那么你的server将被渗透。因此,gem的安全也是ruby社区经常讨论的一个主题。

rubygems已经有能力 cryptographically sign gems (加密签名gem)自从 version 0.8.11,这个签名使用gem cert产生一对秘钥,然后打包签名信息到gem中。gem install命令提供了一个可选的安全策略选项,使你可以在安装gem之前验证gem的签名。

然而,安全加密gem的方式并没有广泛使用。他需要许多 manual steps on the part of the developer,而且目前还没有一个完善的方式来验证gem的签名。新的签名模型例如X509 and OpenPGP可以去 rubygems-trust wiki, the RubyGems-Developers list and in IRC.

他的目标是改善签名系统,使之更加简单、透明。

 

二、使用gem

使用信任策略安装gem

  • gem install gemname -P HighSecurity: All dependent gems must be signed and verified.

  • gem install gemname -P MediumSecurity: All signed dependent gems must be verified.

  • bundle --trust-policy MediumSecurity: Same as above, except Bundler only recognizes the long --trust-policy flag, not the short -P.

  • Caveat: Gem certificates are trusted globally, such that adding a cert.pem for one gem automatically trusts all gems signed by that cert.

验证checksum

gem fetch gemname -v version
ruby -rdigest/sha2 -e "puts Digest::SHA512.new.hexdigest(File.read('gemname-version.gem'))

Know the risks of being pwned, as described by Benjamin Smith’s Hacking with Gems talk

 

 

三、构建gem

使用gem cert命令签名

1.创建自己的签名证书

cd ~/.ssh
gem cert --build [email protected]
chmod 600 gem-p*

使用你gemspecs中的邮箱

2.配置gemspec with cert

添加证书公钥到你的仓库

cd /path/to/your/gem
mkdir certs
cp ~/.ssh/gem-public_cert.pem certs/yourhandle.pem
git add certs/yourhandle.pem
添加证书路径到gemspec 
s.cert_chain  = ['certs/yourhandle.pem']
s.signing_key = File.expand_path("~/.ssh/gem-private_key.pem") if $0 =~ /gem\z/
3.Add your own cert to your approved list, 如下 
gem cert --add certs/yourhandle.pem
4.编译、测试gem以便安装它 
gem build gemname.gemspec
gem install gemname-version.gem -P HighSecurity
# or -P MediumSecurity if your gem depends on unsigned gems
5.Example text for installation documentation

MetricFu is cryptographically signed(加密签名方式)。 确定你安装的gem没有被 tampered(篡改) with:

添加公钥作为可信任的证书

gem cert --add <(curl -Ls https://raw.github.com/metricfu/metric_fu/master/certs/bf4.pem)

gem install metric_fu -P MediumSecurity

The MediumSecurity trust profile 会验证签名的gems, 但是允许安装未签名的依赖.

这是必须的,因为不是所有的 MetricFu’s 依赖都签名了,所以不能使用 HighSecurity。

引入release gem的checksum到你的仓库中 
require 'digest/sha2'
built_gem_path = 'pkg/gemname-version.gem'
checksum = Digest::SHA512.new.hexdigest(File.read(built_gem_path))
checksum_path = 'checksum/gemname-version.gem.sha512'
File.open(checksum_path, 'w' ) {|f| f.write(checksum) }
# add and commit 'checksum_path'
OpenPGP不建议使用,因为没有被支持。

is not recommended due to lack of support.请查看 with Yorick Peterse.

四、报告安全漏洞

1.报告他人gem的安全漏洞

如果了发现了某人的gem存在安全漏洞,第一步就是检查他是否一个已知的漏洞。

如果是一个未被发现的漏洞,你可以私下联系作者,尽量不要pull request或者issue在开源的项目中,解释这个漏洞,并提供解决方案。

 

2.报告自己gem的安全漏洞

首先request a CVE identifier by mailing [email protected]。这个identifier指明这个漏洞在讨论中具有唯一性。

然后找出哪些人使用了你的gem,需要解决这个漏洞。这样牵涉到更新一补丁,并建议他们更新。

最后,你需要告知人们这个漏洞,目前没有很好的地方来发布这些漏洞信息,但是你可以使用以下这些方案:

  • 发送一封邮件到 Ruby Talk mailing list ([email protected]) ,主题 prefix [ANN][Security] outlining the vulnerabilty, which versions of your gem it affects and what actions those depending on the gem should take.

  • 把他添加到开源漏洞数据库,例如 OSVDB。You can do this by emailing [email protected] and/or messaging @osvdb on GitHub or Twitter.

 

五、扩展阅读

Several sources were used for content for this guide:

 

 

你可能感兴趣的:(gem安全)

  • IT圈大实话!卷运维不如卷网络安全,这可能是你转行的最后的机会 程序员晓晓 运维web安全干货分享计算机网络安全渗透测试职场发展
    前言2025年马上进入金三银四的行情,最近我也去问了一下行业内的小伙伴,我发现最近很多从事运维的选择了辞职,转行到了网络安全这个发展路线。说实话,运维工程师这个岗位在IT行业里面确实是处于最底层的,不管什么环节出现问题,基本都是运维背锅。,薪资水平也比不上别的岗位。一般运维的薪资水平大多数都是6-9K,还要高频出差年轻的时候干几年确实还可以,但是成家立业之后就不合适到处出差了。运维的事情非常多,不
  • Objective-C语言的网络编程 俞嫦曦 包罗万象golang开发语言后端
    Objective-C语言中的网络编程引言Objective-C是一种面向对象的编程语言,广泛应用于iOS和macOS应用程序的开发。随着移动互联网的快速发展,网络编程成为了现代应用程序开发中不可或缺的一部分。无论是从服务器获取数据、上传文件,还是实现实时通信,网络编程都扮演着至关重要的角色。本文将深入探讨Objective-C语言中的网络编程,涵盖从基础的网络请求到高级的异步处理、安全通信等内容
  • GPT-4o mini小型模型具备卓越的文本智能和多模态推理能力 FlowUs息流使用宝典 GPT-4omini
    GPT-4omini是首个应用OpenAI指令层次结构方法的模型,这有助于增强模型抵抗越狱、提示注入和系统提示提取的能力。这使得模型的响应更加可靠,并有助于在大规模应用中更安全地使用。GPT-4omini在学术基准测试中,无论是在文本智能还是多模态推理方面,都超越了GPT-3.5Turbo和其他小型模型,并支持与GPT-4o相同的语言范围。它在函数调用方面也表现出色,这使开发者能够构建应用程序来从
  • dify重磅升级:从0.15.3安全升级1.1.0新手避坑指南 Ven% 简单说深度学习docker实用DIfy动手difydockerpython人工智能
    DockerCompose部署备份自定义的docker-composeYAML文件(可选)cddockercpdocker-compose.yamldocker-compose.yaml.-$(date+%Y-%m-%d-%H-%M).bak从main分支获取最新代码gitcheckoutmaingitpulloriginmain停止服务,命令,请在docker目录下执行
  • Uni-app 笔记二 (项目笔记) 天籁晴空 #vue3#TS#小程序--uni-appuni-app笔记
    /***@authorwn*@date2023/07/2610:14:15*@description:uniapp笔记*//*1安全区域屏幕去掉状态栏+刘海剩余展示内容的区域--可通过uni.getSystemInfoSync()获取屏幕上边界到安全区顶部的距离。safeAreaInsets={top:59,left:0,right:0,bottom:34}"navigationStyle":"c
  • ActiveMQ 监听器 闲_风 activeMQactiveMQ监听器注册监听
    监听器,由消息的消费者注册监听,去监听消息队列(queue)中的消息,监听到有消息未处理,即自动调用onMessage方法处理消息,监听器可以注册多个,ActiveMQ自动循环调用注册的监听器,处理队列中的消息。在消息的消费者方,使用setMessageListener方法注册监听,传入匿名参数newMessageListener(),复写onMessage(Messagemessage)方法,在
  • 【数据库】MySQL备份与恢复策略:确保数据安全必备技能 千益 数据库数据库mysql
    在数据库管理中,数据是企业最宝贵的资产之一。无论是硬件故障、人为错误还是恶意攻击,数据丢失都可能对业务造成灾难性影响。因此,制定并实施有效的备份与恢复策略是确保数据安全的关键。本文将深入探讨MySQL备份与恢复的最佳实践,并通过丰富的实际案例帮助您理解如何在实际场景中应用这些策略。一、为什么需要备份与恢复策略?1.数据丢失的常见原因硬件故障:磁盘损坏、服务器宕机等。人为错误:误删数据、错误操作等。
  • 汽车机械钥匙升级一键启动的优点 zsmydz888 汽车无钥匙启动汽车
    汽车机械钥匙升级一键启动的优点主要包括:便捷性:一键启动功能的引入极大地提升了用车便捷性。车主无需翻找钥匙,只需在车辆感应范围内轻触启动键,即可轻松发动汽车。安全性:移动管家专车专用一键启动系统配备了防盗警报功能。在车辆遭遇盗窃或意外情况时,系统会迅速锁定发动机,有效预防车辆被盗。科技感:一键启动作为现代汽车的先进配置,使驾驶过程更加智能化和便捷化。无需拿出钥匙:只要钥匙在你身边,达到感应距离,就
  • MySQL 安全传输 向阳1218 大数据doris
    Doris开启SSL功能需要配置CA密钥证书和Server端密钥证书,如需开启双向认证,还需生成Client端密钥证书:默认的CA密钥证书文件位于Doris/fe/mysql_ssl_default_certificate/ca_certificate.p12,默认密码为doris,您可以通过修改FE配置文件conf/fe.conf,添加mysql_ssl_default_ca_certifica
  • 24B参数模型碾压gpt4o-mini!推理速度超快!vLLM本地部署Mistral-Small 3.1+全方位测试多模态大模型!超越Gemma3.1,最适合企业项目的大模型!中文OCR能力也不弱 AI超元域 ocr人工智能aiAI编程aigc
    本篇笔记所对应的视频https://www.bilibili.com/video/BV1Q9XLYiEwD/MistralAI最新推出的MistralSmall3.1模型无疑是近期科技界的一大亮点。这款由法国AI实验室MistralAI开发的开源多模态模型,以其卓越的性能和灵活性,为开发者、企业和研究人员带来了全新的可能性。凭借24B参数、对文本与图像的处理能力,以及在多个关键指标上的突破,Mis
  • 2025年三个月自学手册 网络安全(黑客技术) 网安kk web安全安全网络网络安全人工智能
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习导航
  • 《Operating System Concepts》阅读笔记:p359-p388 操作系统
    《OperatingSystemConcepts》学习第32天,p359-p388总结,总计30页。一、技术总结1.paging(1)定义Acommonmemorymanagementschemethatavoidsexternalfragmentationbysplittingphysicalmemoryintofixed-sizedframesandlogicalmemoryintoblock
  • SpringBoot获取不到用户真实IP怎么办
    在SpringBoot应用中获取用户的真实IP地址,对于实现安全控制、日志记录以及个性化服务至关重要。以下是详细的方法及步骤:️方法概述通过HttpServletRequest对象,可以从用户请求中提取IP地址。由于请求可能经过多个代理服务器,因此需要依次检查多个请求头,以确保获取到用户的真实IP。代码示例以下是一个完整的Controller方法示例,用于获取用户的真实IP地址:importjav
  • 七个合法学习黑客技术的平台,让你从萌新成为大佬 黑客白帽子黑爷 学习php开发语言web安全网络
    1、HackThisSite提供在线IRC聊天和论坛,让用户交流更加方便。网站涵盖多种主题,包括密码破解、网络侦察、漏洞利用、社会工程学等。非常适用于个人提高网络安全技能2、HackaDay涵盖多个领域,包括黑客技术、科技、工程和DIY等内容,站内提供大量有趣的文章、视频、教程和新闻,帮助用户掌握黑客技术和DIY精神。3、OffensiveSecurity一个专门提供网络安全培训和认证的公司,课程
  • 新手如何成为一名顶尖黑客?只需这十二个步骤轻松入门! 网络安全淼叔 黑客渗透测试白帽黑客网络安全副业
    成为一名黑客的过程涉及不断学习和实践技术,既要掌握基础的计算机知识,也要具备足够的安全意识和道德责任感。以下是成为一名黑客的12个基本步骤,为小白提供系统的入门指导。对于从来没有接触过黑客的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。1.了解计算机基础要成为一名黑客,首先需要了解计算机硬件、操作系统和网络的基础。你需要理解计算机如何处
  • C++智能指针:从内存裸奔到安全驾驶(附保姆级代码示例) 灰灰的C旅程 随时随地C++C/C++c++安全开发语言
    大家好呀,我是灰灰,上期咱们聊完引用,不少小伙伴在评论区哭诉内存泄漏的惨痛经历。今天咱们就来解锁C++的"自动驾驶"神器——智能指针!从此告别new/delete的手动挡时代,系好安全带,发车啦!一、智能指针是什么?为什么需要它?1.1手动管理内存的痛void作死示例(){int*裸指针=newint[10086];//申请//...一顿操作猛如虎...if(rand()%2)return;//5
  • 【ChatGPT】如何选择不同版本的Java 南天归鴻 java
    下面提供一份综合多方专业平台(如Oracle、InfoWorld、DZone、AdoptOpenJDK、RedHat等)信息整理的Java版本推荐报告,数据截止至2025年3月18日。下文将对“最新版本”、“稳定的最新版本”、“最稳定的版本”以及“市面上最常用的版本”进行详细对比,并从版本特性、优势、劣势、学习/实验需求、企业生产需求、兼容性与安全性等角度进行分析,供各类用户参考。一、背景说明Ja
  • CTF学习法则——寒假篇 新手赶快收藏吧! 网络安全技术分享 学习网络安全web安全php
    CTF(CapturetheFlag)是网络安全领域中的一种比赛形式,涵盖了漏洞利用、逆向工程、加密解密、编码解码等多方面的技术,参与者通过解决难题(称为“Flag”)获得积分。对于想要在寒假期间提升CTF技能的同学们,以下是一些有效的学习法则,可以帮助你高效地进行学习和提升:1.合理规划学习时间寒假时间有限,建议制定合理的学习计划:每天固定时间学习:保持稳定的学习节奏,避免临时抱佛脚。分阶段学习
  • 网络安全入门教程(非常详细)从零基础入门到精通,看完这一篇就够了 白帽黑客坤哥 web安全安全网络网络安全物联网
    href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/kdoc_html_views-1a98987dfd.css"rel="stylesheet"/>href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/ck_htmledit_v
  • Spring Boot 配置属性 (Configuration Properties) 详解:优雅地管理应用配置 无眠_ springboot前端后端
    引言SpringBoot的配置属性(ConfigurationProperties)是其另一个核心特性,它提供了一种类型安全、结构化的方式来管理应用的配置信息。与自动配置相辅相成,配置属性允许开发者以声明式的方式将外部配置(如properties文件、YAML文件、环境变量等)绑定到Java对象,从而简化配置读取和使用,提高代码的可读性和可维护性。本文将深入解析SpringBoot配置属性的原理、
  • LJF-Framework 第1章【一个不成熟的想法】 one one day LJF-Frameworkspringjavaspringboot
    LJF-Framework第1章【一个不成熟的想法】一、想法的诞生平时自己写点小demo,练练手,学点新知识,或者整点小项目。弱鸡的我在写一些新的项目的时候,对于一些常用的功能,写代码那肯定就是CV大法了,从以前写过的代码中各种CV,结果好多项目用的框架不同,总得修修改改,太费经,比如说安全鉴权等,一开始练习shiro、后来又学习SpringSecurity,然后又研究了一波sa-token,对于
  • 优麒麟Ubuntu Kylin 20.04 Pro SP1 上线 Linux_华仔 技术干货ubuntukylin网络
    优麒麟团队正式宣布UbuntuKylin20.04ProSP1上线。此版本默认搭载Linux5.11内核,新增显示器显示模式的记忆支持、鼠标拖拽支持等功能,优化网络插件、登录程序和定时关机等系统组件,修复了用户手册程序崩溃、软件商店暂停键刷新不及时、蓝牙传输空文件失败等严重问题,累计200+桌面环境和应用软件方面的已知问题得到解决,从而全面提升系统稳定性和安全性,为用户提供更加高效便捷的使用体验,
  • Shiro授权 斗-匕 oracle数据库
    在Java安全领域,ApacheShiro以其强大的功能和灵活性备受开发者青睐。其中,授权机制是Shiro的核心功能之一,它确保了用户只能访问其被授权的资源。本文将深入探讨Shiro授权,涵盖静态和动态授权、权限、角色、隐式角色、显式角色、授权流程以及授权方式等方面。一、Shiro简介ApacheShiro是一个功能强大的Java安全框架,它提供了认证、授权、加密和会话管理等功能。Shiro的设计
  • 华为海思 CPU「麒麟 X90」曝光 自不量力的A同学 华为
    2025年3月15日,中国信息安全评测中心发布安全可靠测评结果公告(2025年第1号),华为海思麒麟X90处理器首次曝光,其安全可靠等级评测结果为II级。相关信息如下:架构与制程:采用华为自研的“泰山V3”架构,基于ARMv9指令集,首次在PC端实现“超线程+大小核异构”设计,集成多达16核(4大核+12能效核),主频突破4.2GHz。推测制程为中芯国际N+2的等效7nm技术。芯片集成:将CPU、
  • Kali Linux 渗透测试环境配置(Metasploit + Burp Suite) 李游Leo 环境配置linux运维服务器
    一、KaliLinux系统准备首先,确保你已经成功安装了KaliLinux系统。可以从官方网站下载镜像文件,并通过U盘引导安装等常规方式完成系统部署。建议使用最新稳定版本,以获取最新的软件包支持和安全更新。安装完成后,登录系统,打开终端。由于许多操作需要管理员权限,在终端输入“sudosu”切换到root用户,后续操作若无特殊说明,均在root权限下进行。二、Metasploit配置1.KaliL
  • Node.js 包与 npm 详解:概念、作用及完整使用指南 还是鼠鼠 node.jsnode.jsnpm前端vscodeweb
    目录1.Node.js包的概念与作用什么是包?包的作用2.npm(NodePackageManager)简介常用npm命令3.创建一个本地Node.js包步骤1:初始化npm项目步骤2:编写index.js步骤3:在另一个项目中使用这个包4.安装和使用第三方npm包安装lodash使用lodash5.全局安装包与命令行工具6.发布自己的npm包创建npm账号发布包7.结论在Node.js中,**包
  • TDE透明加密:重塑文件传输与网盘存储的安全新范式 安 当 加 密 安全
    在数据要素价值持续释放的今天,企业文件传输与存储系统正面临**“既要跨域流动,又要严防泄露”的双重挑战。传统加密方案往往陷入两难困境:离线传输依赖手工解密导致效率低下,网盘存储依赖平台方加密存在密钥失控风险。作为国内数据安全领域的创新者,上海安当推出的TDE透明加密技术**,以**“端到端无感加密、全链路权限管控、跨平台无缝兼容”**为核心,为企业构建从文件生成、传输到存储的全生命周期防护体系。本
  • Cargo deny安装指路 编辑器
    本博客所有文章除特别声明外,均采用CCBY-NC-SA4.0许可协议。转载请注明来自唯你简介cargodeny是一个Rust工具,用于检查项目依赖项的许可证、安全性和其他合规性问题。在RustCI(持续集成)中,cargodeny扮演着重要角色:许可证检查:确保项目使用的所有依赖项的许可证都符合项目的许可政策。安全漏洞扫描:检查依赖项是否存在已知的安全漏洞。依赖项合规性:验证依赖项是否符合项目的其
  • 扫盲系列--Web3智能合约+Solidity简介 「已注销」 前端框架
    前言这几天web3智能合约这个概念,频繁映入我的眼帘。web3.0这个概念我听说过,核心特征是去中心化、开放性、隐私保护和数据所有权回归个人。Web1.0是信息浏览时代,Web2.0是用户参与和社交网络时代,Web3.0是去中心化与智能化时代。在Web3.0这一新的互联网架构下,用户不再仅仅是内容的消费者,更是自己数字身份和数据的拥有者。Web3.0旨在构建一个更加透明、安全且高效的信息网络。我对
  • 零信任时代的守护者:Nginx如何成为API流量监控的中流砥柱 墨夶 Nginx学习资料1nginx运维
    随着企业数字化转型的步伐加快,应用程序接口(API)作为连接不同系统和服务的关键桥梁,其重要性日益凸显。然而,在开放互联的同时,API也成为攻击者觊觎的目标。为了应对这一挑战,零信任安全模型应运而生,强调“永不信任,始终验证”的核心原则。本文将深入探讨Nginx在零信任架构下的强大API流量监控能力,展示它是如何帮助企业构建起坚不可摧的安全防线。1.零信任与API安全的交集1.1零信任的核心理念零
  • 矩阵求逆(JAVA)利用伴随矩阵 qiuwanchi 利用伴随矩阵求逆矩阵
    package gaodai.matrix; import gaodai.determinant.DeterminantCalculation; import java.util.ArrayList; import java.util.List; import java.util.Scanner; /** * 矩阵求逆(利用伴随矩阵) * @author 邱万迟
  • 单例(Singleton)模式 aoyouzi 单例模式Singleton
    3.1           概述 如果要保证系统里一个类最多只能存在一个实例时,我们就需要单例模式。这种情况在我们应用中经常碰到,例如缓存池,数据库连接池,线程池,一些应用服务实例等。在多线程环境中,为了保证实例的唯一性其实并不简单,这章将和读者一起探讨如何实现单例模式。 3.2
  • [开源与自主研发]就算可以轻易获得外部技术支持,自己也必须研发 comsci 开源
          现在国内有大量的信息技术产品,都是通过盗版,免费下载,开源,附送等方式从国外的开发者那里获得的。。。。。。        虽然这种情况带来了国内信息产业的短暂繁荣,也促进了电子商务和互联网产业的快速发展,但是实际上,我们应该清醒的看到,这些产业的核心力量是被国外的
  • 页面有两个frame,怎样点击一个的链接改变另一个的内容 Array_06 UIXHTML
    <a src="地址"  targets="这里写你要操作的Frame的名字" />搜索 然后你点击连接以后你的新页面就会显示在你设置的Frame名字的框那里 targerts="",就是你要填写目标的显示页面位置 ===================== 例如: <frame src=&
  • Struts2实现单个/多个文件上传和下载 oloz 文件上传struts
    struts2单文件上传:     步骤01:jsp页面 <!--在进行文件上传时,表单提交方式一定要是post的方式,因为文件上传时二进制文件可能会很大,还有就是enctype属性,这个属性一定要写成multipart/form-data,不然就会以二进制文本上传到服务器端-->   <form action="fileUplo
  • 推荐10个在线logo设计网站 362217990 logo
    在线设计Logo网站。 1、http://flickr.nosv.org(这个太简单) 2、http://www.logomaker.com/?source=1.5770.1 3、http://www.simwebsol.com/ImageTool 4、http://www.logogenerator.com/logo.php?nal=1&tpl_catlist[]=2 5、ht
  • jsp上传文件 香水浓 jspfileupload
    1. jsp上传 Notice: 1. form表单 method 属性必须设置为 POST 方法 ,不能使用 GET 方法 2. form表单 enctype 属性需要设置为 multipart/form-data 3. form表单 action 属性需要设置为提交到后台处理文件上传的jsp文件地址或者servlet地址。例如 uploadFile.jsp 程序文件用来处理上传的文
  • 我的架构经验系列文章 - 前端架构 agevs JavaScriptWeb框架UIjQuer
    框架层面:近几年前端发展很快,前端之所以叫前端因为前端是已经可以独立成为一种职业了,js也不再是十年前的玩具了,以前富客户端RIA的应用可能会用flash/flex或是silverlight,现在可以使用js来完成大部分的功能,因此js作为一门前端的支撑语言也不仅仅是进行的简单的编码,越来越多框架性的东西出现了。越来越多的开发模式转变为后端只是吐json的数据源,而前端做所有UI的事情。MVCMV
  • android ksoap2 中把XML(DataSet) 当做参数传递 aijuans android
    我的android app中需要发送webservice ,于是我使用了 ksop2 进行发送,在测试过程中不是很顺利,不能正常工作.我的web service 请求格式如下     [html]  view plain copy   <Envelope xmlns="http://schemas.
  • 使用Spring进行统一日志管理 + 统一异常管理 baalwolf spring
    统一日志和异常管理配置好后,SSH项目中,代码以往散落的log.info() 和 try..catch..finally 再也不见踪影! 统一日志异常实现类: [java]  view plain copy   package com.pilelot.web.util;      impor
  • Android SDK 国内镜像 BigBird2012 android sdk
    一、镜像地址: 1、东软信息学院的 Android SDK 镜像,比配置代理下载快多了。 配置地址, http://mirrors.neusoft.edu.cn/configurations.we#android 2、北京化工大学的: IPV4:ubuntu.buct.edu.cn  IPV4:ubuntu.buct.cn IPV6:ubuntu.buct6.edu.cn
  • HTML无害化和Sanitize模块 bijian1013 JavaScriptAngularJSLinkySanitize
    一.ng-bind-html、ng-bind-html-unsafe         AngularJS非常注重安全方面的问题,它会尽一切可能把大多数攻击手段最小化。其中一个攻击手段是向你的web页面里注入不安全的HTML,然后利用它触发跨站攻击或者注入攻击。         考虑这样一个例子,假设我们有一个变量存
  • [Maven学习笔记二]Maven命令 bit1129 maven
    mvn compile compile编译命令将src/main/java和src/main/resources中的代码和配置文件编译到target/classes中,不会对src/test/java中的测试类进行编译 MVN编译使用 maven-resources-plugin:2.6:resources maven-compiler-plugin:2.5.1:compile &nbs
  • 【Java命令二】jhat bit1129 Java命令
    jhat用于分析使用jmap dump的文件,,可以将堆中的对象以html的形式显示出来,包括对象的数量,大小等等,并支持对象查询语言。 jhat默认开启监听端口7000的HTTP服务,jhat是Java Heap Analysis Tool的缩写 1. 用法: [hadoop@hadoop bin]$ jhat -help Usage: jhat [-stack <bool&g
  • JBoss 5.1.0 GA:Error installing to Instantiated: name=AttachmentStore state=Desc ronin47
    进到类似目录 server/default/conf/bootstrap,打开文件 profile.xml找到: Xml代码<bean    name="AttachmentStore"  class="org.jboss.system.server.profileservice.repository.AbstractAtta
  • 写给初学者的6条网页设计安全配色指南 brotherlamp UIui自学ui视频ui教程ui资料
    网页设计中最基本的原则之一是,不管你花多长时间创造一个华丽的设计,其最终的角色都是这场秀中真正的明星——内容的衬托     我仍然清楚地记得我最早的一次美术课,那时我还是一个小小的、对凡事都充满渴望的孩子,我摆放出一大堆漂亮的彩色颜料。我仍然记得当我第一次看到原色与另一种颜色混合变成第二种颜色时的那种兴奋,并且我想,既然两种颜色能创造出一种全新的美丽色彩,那所有颜色
  • 有一个数组,每次从中间随机取一个,然后放回去,当所有的元素都被取过,返回总共的取的次数。写一个函数实现。复杂度是什么。 bylijinnan java算法面试
    import java.util.Random; import java.util.Set; import java.util.TreeSet; /** * http://weibo.com/1915548291/z7HtOF4sx * #面试题#有一个数组,每次从中间随机取一个,然后放回去,当所有的元素都被取过,返回总共的取的次数。 * 写一个函数实现。复杂度是什么
  • struts2获得request、session、application方式 chiangfai application
    1、与Servlet API解耦的访问方式。 a.Struts2对HttpServletRequest、HttpSession、ServletContext进行了封装,构造了三个Map对象来替代这三种对象要获取这三个Map对象,使用ActionContext类。 ----->   package pro.action; import java.util.Map; imp
  • 改变python的默认语言设置 chenchao051 python
    import sys sys.getdefaultencoding()  可以测试出默认语言,要改变的话,需要在python lib的site-packages文件夹下新建: sitecustomize.py, 这个文件比较特殊,会在python启动时来加载,所以就可以在里面写上: import sys sys.setdefaultencoding('utf-8') &n
  • mysql导入数据load data infile用法 daizj mysql导入数据
    我们常常导入数据!mysql有一个高效导入方法,那就是load data infile 下面来看案例说明 基本语法: load data  [low_priority] [local] infile 'file_name txt' [replace | ignore] into table tbl_name [fields [terminated by't'] [OPTI
  • phpexcel导入excel表到数据库简单入门示例 dcj3sjt126com PHPExcel
    跟导出相对应的,同一个数据表,也是将phpexcel类放在class目录下,将Excel表格中的内容读取出来放到数据库中 <?php error_reporting(E_ALL); set_time_limit(0); ?> <html> <head> <meta http-equiv="Content-Type"
  • 22岁到72岁的男人对女人的要求 dcj3sjt126com
    22岁男人对女人的要求是:一,美丽,二,性感,三,有份具品味的职业,四,极有耐性,善解人意,五,该聪明的时候聪明,六,作小鸟依人状时尽量自然,七,怎样穿都好看,八,懂得适当地撒娇,九,虽作惊喜反应,但看起来自然,十,上了床就是个无条件荡妇。 32岁的男人对女人的要求,略作修定,是:一,入得厨房,进得睡房,二,不必服侍皇太后,三,不介意浪漫蜡烛配盒饭,四,听多过说,五,不再傻笑,六,懂得独
  • Spring和HIbernate对DDM设计的支持 e200702084 DAO设计模式springHibernate领域模型
    A:数据访问对象     DAO和资源库在领域驱动设计中都很重要。DAO是关系型数据库和应用之间的契约。它封装了Web应用中的数据库CRUD操作细节。另一方面,资源库是一个独立的抽象,它与DAO进行交互,并提供到领域模型的“业务接口”。    资源库使用领域的通用语言,处理所有必要的DAO,并使用领域理解的语言提供对领域模型的数据访问服务。
  • NoSql 数据库的特性比较 geeksun NoSQL
    Redis 是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。目前由VMware主持开发工作。   1. 数据模型 作为Key-value型数据库,Redis也提供了键(Key)和值(Value)的映射关系。除了常规的数值或字符串,Redis的键值还可以是以下形式之一: Lists (列表) Sets
  • 使用 Nginx Upload Module 实现上传文件功能 hongtoushizi nginx
    转载自: http://www.tuicool.com/wx/aUrAzm   普通网站在实现文件上传功能的时候,一般是使用Python,Java等后端程序实现,比较麻烦。Nginx有一个Upload模块,可以非常简单的实现文件上传功能。此模块的原理是先把用户上传的文件保存到临时文件,然后在交由后台页面处理,并且把文件的原名,上传后的名称,文件类型,文件大小set到页面。下
  • spring-boot-web-ui及thymeleaf基本使用 jishiweili springthymeleaf
    视图控制层代码demo如下:   @Controller @RequestMapping("/") public class MessageController { private final MessageRepository messageRepository; @Autowired public MessageController(Mes
  • 数据源架构模式之活动记录 home198979 PHP架构活动记录数据映射
    hello!架构 一、概念 活动记录(Active Record):一个对象,它包装数据库表或视图中某一行,封装数据库访问,并在这些数据上增加了领域逻辑。 对象既有数据又有行为。活动记录使用直截了当的方法,把数据访问逻辑置于领域对象中。   二、实现简单活动记录 活动记录在php许多框架中都有应用,如cakephp。 <?php /** * 行数据入口类 *
  • Linux Shell脚本之自动修改IP pda158 linuxcentosDebian脚本
    作为一名 Linux SA,日常运维中很多地方都会用到脚本,而服务器的ip一般采用静态ip或者MAC绑定,当然后者比较操作起来相对繁琐,而前者我们可以设置主机名、ip信息、网关等配置。修改成特定的主机名在维护和管理方面也比较方便。如下脚本用途为:修改ip和主机名等相关信息,可以根据实际需求修改,举一反三! #!/bin/sh #auto Change ip netmask ga
  • 开发环境搭建 独浮云 eclipsejdktomcat
           最近在开发过程中,经常出现MyEclipse内存溢出等错误,需要重启的情况,好麻烦。对于一般的JAVA+TOMCAT项目开发,其实没有必要使用重量级的MyEclipse,使用eclipse就足够了。尤其是开发机器硬件配置一般的人。         &n
  • 操作日期和时间的工具类 vipbooks 工具类
       大家好啊,好久没有来这里发文章了,今天来逛逛,分享一篇刚写不久的操作日期和时间的工具类,希望对大家有所帮助。 /* * @(#)DataFormatUtils.java 2010-10-10 * * Copyright 2010 BianJing,All rights reserved. */ package test; impor
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他