DongAoTony
DongAoTony

深入了解区块链的漏洞之1:介绍篇

在这个系列里,我们将一起学习一篇论文:https://arxiv.org/pdf/2110.12162.pdf

这篇文章作者对区块链的脆弱性,采用独特地方法论,进行深入的探讨。为我们理解或梳理区块链的漏洞,提供了非常有意义的探索。下面是这篇论文的摘要和介绍。

摘要

大家都知道,区块链作为最近涌现出来的技术,其具有去中心化的特质,以及拥有加密货币属性和智能合约功能,让许多人都看好它,把它当作人类下一代IT革命的引擎技术。但是,区块链本质上是一款去中心化的超级账本软件,因此它不可避免地会存在软件上的漏洞。目前关于区块链的研究,大都聚焦在基于该技术智能合约和具体的应用上面,包括关于区块链安全方面也主要在合约和应用,而关于其底层系统级的安全漏洞则少有涉猎。这里,我们将针对具有代表性的区块链(比特币、以太坊等),探究区块链可能存在的系统漏洞。

目前关于区块链没有CVE信息发布系统,好在区块链都是开源的软件,因此我们收集它们Github上的Issues,以及PRs(pull requests),并从中抽取了上千个区块链漏洞,以及超过2000多个的补丁,来让大家看到这个技术存在的系统漏洞,以及可以补救办法。我们把收集到的脆弱点构建了一个数据集,并在该数据集上,我们将开展三种层级的分析:、

  1. 文件级,旨在找到易受攻击的模块,这个是通过不同区块链工程项目的模块路径来达到目标;
  2. 文本级,旨在发现易受攻击的类型,这个是通过自然语法和NLP来达到目标;
  3. 代码级,旨在寻找易受攻击的模式,这个则是通过分析处理补丁的代码片段来达到目标的。

经过仔细的分析,大家将会得到3个主要的发现:

  1. 有此区块链的模块相比其它模块更值怀疑,特别是那些关于共识、钱包和网络的模块应当重点关注,因为它个每个都有超过200个的issues。
  2. 区块链的漏洞类型70%以上是与传统软件上已有的,但在这里,将提出4种全新的类型。
  3. 多达21种的专属于区块链的攻击模式,包括检查区块链的唯一属性,验证各种区块链状态;并在这里,我们将演示通过这些模式,怎样来找到这些区块链中的被攻击点。

介绍

自从区块链首次被Bitcoin作为其加密货币交易账本以来,它就成为许多加密货币的底层设施了。并且它促使加密货币市场指数级增长,截止2021年4月初,它的市值总额已超过了2万亿USD[32]。而且基于这些区块链技术演进、智能合约,以及各类DApp也是如雨后春笋般涌现:像智能合约平台以太坊[14]和超级账本Fabric[9],去中心化的计算平台星际文件系统IPFS[13]和Blockstack[8],像去中心化金融(DeFi)[55],智能合约预言机[61,62],去中心化身份识别[43],去中心化IoT管理[49],基于去中心化应用市场[17]等等。为了保护这些系统的去中心化,保护它们的紧密相关加密货币的安全性,这些区块链的安全就特别值得我们关注了。

目前关于区块链安全的研究,主要聚焦在智能合约漏洞检查和网络安全分析上。特别是许多程序静态分析工具,例如Oyente[42], Zeus[29],Securify[52],Gigahorse[25], 以及ETHBMC[21], 它们都是基于语法的执行和模型检查,来探测智能合约可能存在的漏洞。而动态工具[19,27,47,51]和基于学习的工具[24,38,41]也被发明出来了。它们除了会进行应用程序级合约的分析,有此还会分析网络级的黑客攻击,挖矿攻击,以及交易执行级别攻击[20,31,63,66]。然而,关于区块链本身自己系统的安全问题,则很少有人探究。据我们所知,目前只有一篇这样的研究[53](来自软件工程社区)是这个方向。在这篇研究中,它具体分析了946种区块链的bugs,其中涵盖了18个安全相关的bugs,并对其中4个进行了剖析。

在这篇文章中,我们从理解区块链的脆弱性目标出发,从4个有代表性的区块链(包括经典Bitcoin[45], 智能合约平台以太坊[14], 匿名coin Monero[46], 以及支付网络Stellar[39])入手,来导出区块链实证存在的漏洞。这4种区块链不仅在加密货币市场广泛流行,而且也有扎实的技术文章支持。

本文的区块链漏洞探索的整体工作流程如下图所示:
深入了解区块链的漏洞之1:介绍篇_第1张图片

正如上图所示,我们研究的第一步挑战就是要有效地收集这4个区块链中,易受攻击的issues,以及它们应对的补丁。这步的困难主要是针对这些区块链工程,基本没有可用的CVE(Common Vulnerabilities & Exposures)信息,以及大量原始的区块链bugs(超过34K);我们只能从这此庞大的bugs数据源中去出与安全漏洞相关的bugs,如果完全通过手工的方式去提取,简直就是不可完成的任务。为此,我们基于这些漏洞会有不同的特征和不同级别的直觉,提出了个过滤框架,让我们可以通过分析bug的属性,由粗到精地逐步识别出侯选的漏洞。具体的,我们将针对提交、文件、标签和关键词4种级别,来执行过滤。最后,我们获得了1037个漏洞,以及针对它们的2317个补丁,并把它们当作我们区块链脆弱性研究的数据集。

基于为个数据集,我们将拓展3个主要方面的,尚未发现的区块链脆弱性,包括:可疑的区块链模块,通用区块链脆弱性类型,以及区块链专有的补丁代码模式。最后,我们将在下面完成区块链“文件级”、“文本级”和“代码级”脆弱性的分析。

首先,我们通过审查打过补丁的文件,来进行模块的分析。但是,对每个文件进行逐个审查,是特别费时间的事情,因为光路径就有2362个。我们建议通过识别模块路径的来先找到需要分析的模块。因为文件夹的名字往往会概括出该模块所包含的文件 (例如"rpc/"文件夹,往往就表示其下的文件是属于RPC模块)。然后,我们再进一步把这些模块路径根据不同的区块链,根据它们的架构关联起来,让为些不同的模块与它们的架构对应起来。这种文件级模块分类方法,让我们可以区块链的脆弱性,拥有一个分层的视角,进而准确地指出它们可疑的区块链模块。通过这个审查,我们发现有的模块,相对其它模块,更值得我们怀疑,像共识模块,钱包模块和网络模块,因为它们每个都超过200个Issues了。除了这些模块在区块链系统中被广泛使用之外,我们还看到它们代码的复杂度也远高于其它模块。

接着,我们对脆弱性的文本进行了类型分析。更具体点,是对数据集中issues的titles进行了分析。因为脆弱性类型往往由issue/PR(pull request)的title概括了,例如,Bitcoin PR #17460 “wallet: Fix uninitialized read in bumpfee(…),”,这里“uninitialized read”就是类型。为了消灭噪声词,进而获得高质量的类型集合,我们在首次抽取“类型”时,也就是在导出类型集合前,引入了NLP(natural language processing)进行了分词分析处理;基于行文语法模式,这些类型词往往会在一个动词后面(如“fix”),或介词的前头(例如“in”)。通过抽取各种情形下的类型关键词,以及合适的聚合算法,我们成功地将75.8%的脆弱性映射了不同的类型中。我们并将分析最典型的20种,这20种类型每个至少都发现了不少于10个的漏洞。其中有4种新的脆弱性类型,它们专属于区块链;另外也看到,传统的脆弱性类型在区块链中仍然占有62%~78%的比重。

最后,我们引入了模式分析来分析针对这些脆弱性的补丁代码。分析这些补丁代码时,我们主要聚焦在专属于区块链的脆弱性类型,因为传统的脆弱性类型更加广为人知,或有更多文章描述(有兴趣的同学,可以自行找寻资料)。为了让相似的补丁代码归入同样的类型集合,我们设计并生成了一个“代码修改签名”,它将获取语义和语法上一致的代码片段。通过把3251个代码片段,聚合成174个代码修改签名,我们识别出21个区块链专用有的脆弱性模式。基于这些模式,区块链会去检查它的属性(例如发送者的地址,交易顺序,区块头,以gas限制),并确保节点同步期间各种区块链状态、对等节点验证、钱包和数据库操作的有效性。我们进一步利用这些模式,在其它排名靠前的区块链中,发现了23个同样的漏洞。其中受影响的就有6个区块链,包括了以下著名的项目:Dogecoin, Bitcoin SV和Zcash;截止2021年10月,这些区块链所占的市场资本超过了400亿USD。大多数我们的漏洞报告,已经被这些区块链的开发者确认了,并正在为这些漏洞打着补丁。这也表明我们的脆弱性模式,正在给现实世界带来影响。

总这,在这篇论文里提供了一组方法学,来分析区块链的漏洞,来构建相关的知识基础,并挖掘出这些漏洞内在的东西。为了方便以后研究,我们也将在社区里,公开我们收集好的数据集。

参考

[1] 2019. Bitcoin Core 0.11 (ch 1): Overview. https://en.bitcoin.it/wiki/Bitcoin_Core_0.11_(ch_1):_Overview.

[2] 2020. Bitcoin Core: The Reference Implementation. https://cypherpunks-core.github.io/bitcoinbook/ch03.html.

[3] 2020. NLTK: Natural Language Toolkit. https://www.nltk.org/.

[4] 2020. spaCy: Industrial-Strength Natural Language Processing. https://spacy.io/.

[5] 2021. Agglomerative Clustering. https://scikit-learn.org/stable/modules/generated/sklearn.cluster.AgglomerativeClustering.html.

[6] 2021. Gaussian Mixture Models. https://scikit-learn.org/stable/modules/generated/sklearn.mixture.GaussianMixture.html.

[7] 2021. Swarm. https://github.com/ethersphere/swarm.

[8] Muneeb Ali, Jude Nelson, Ryan Shea, and Michael J Freedman. 2016. Blockstack: A global naming and storage system secured by blockchains. In USENIX ATC.

[9] Elli Androulaki, Artem Barger, Vita Bortnikov, Christian Cachin, Konstantinos Christidis, Angelo De Caro, David Enyeart, Christopher Ferris, Gennady Laventman, and Yacov Manevich. 2018. Hyperledger Fabric: A distributed operating system for permissioned blockchains. In Proc. ACM EuroSys.

[10] Maria Apostolaki, Aviv Zohar, and Laurent Vanbever. 2017. Hijacking Bitcoin: Routing Attacks on Cryptocurrencies. In Proc. IEEE Symposium on Security and Privacy.

[11] David Arthur and Sergei Vassilvitskii. 2007. K-Means++: The Advantages of Careful Seeding. In Proc. ACM SODA.

[12] Ira D. Baxter, Andrew Yahin, Leonardo Moura, Marcelo Sant’Anna, and Lorraine Bier. 1998. Clone Detection Using Abstract Syntax Trees. In Proc. ACM ICSE.

[13] Juan Benet. 2014. IPFS-content addressed, versioned, p2p file system. CoRR arXiv abs/1407.3561 (2014).

[14] Vitalik Buterin. 2014. A next-generation smart contract and decentralized application platform. white paper (2014).

[15] Yan Cai and Wing-Kwong Chan. 2014. Magiclock: Scalable detection of potential deadlocks in large-scale multithreaded programs. IEEE Transactions on Software Engineering (2014).

[16] Haogang Chen, Yandong Mao, Xi Wang, Dong Zhou, Nickolai Zeldovich, and M. Frans Kaashoek. 2011. Linux Kernel Vulnerabilities: State-of-the-Art Defenses and Open Problems. In Proc. ACM APSys.

[17] Mengjie Chen, Daoyuan Wu, Xiao Yi, and Jianliang Xu. 2021. AGChain: A Blockchain-based Gateway for Permanent, Distributed, and Secure App Delegation from Existing Mobile App Markets. CoRR arXiv abs/2101.06454 (2021).

[18] Shuo Chen, Zbigniew Kalbarczyk, Jun Xu, and Ravishankar K Iyer. 2003. A data-driven finite state machine model for analyzing security vulnerabilities. In Proc. IEEE DSN.

[19] Ting Chen, Rong Cao, Ting Li, Xiapu Luo, Guofei Gu, Yufei Zhang, Zhou Liao, Hang Zhu, Gang Chen, Zheyuan He, Yuxing Tang, Xiaodong Lin, and Xiaosong Zhang. 2017. SODA: A Generic Online Detection Framework for Smart Contracts. In Proc. ISOC NDSS.

[20] Ting Chen, Yuxiao Zhu, Zihao Li, Jiachi Chen, Xiaoqi Li, Xiapu Luo, Xiaodong Lin, and Xiaosong Zhang. 2018. Understanding Ethereum via Graph Analysis. In Proc. IEEE INFOCOM.

[21] Joel Frank, Cornelius Aschermann, and Thorsten Holz. 2020. ETHBMC: A Bounded Model Checker for Smart Contracts. In Proc. USENIX Security.

[22] Brendan J. Frey and Delbert Dueck. 2007. Clustering by Passing Messages Between Data Points. Science (2007).

[23] Shang Gao, Zecheng Li, Zhe Peng, and Bin Xiao. 2019. Power Adjusting and Bribery Racing: Novel Mining Attacks in the Bitcoin System. In Proc. ACM CCS.

[24] Zhipeng Gao, Lingxiao Jiang, Xin Xia, David Lo, and John Grundy. 2020. Checking Smart Contracts with Structural Code Embedding. IEEE Transactions on Software Engineering (2020).

[25] Neville Grech, Lexi Brent, Bernhard Scholz, and Yannis Smaragdakis. 2019. Gigahorse: Thorough, Declarative Decompilation of Smart Contracts. In Proc. ACM ICSE.

[26] Jiyong Jang, Abeer Agrawal, and David Brumley. 2012. ReDeBug: Finding Unpatched Code Clones in Entire OS Distributions. In Proc. IEEE Symposium on Security and Privacy.

[27] Bo Jiang, Ye Liu, and W. K. Chan. 2018. ContractFuzzer: Fuzzing Smart Contracts for Vulnerability Detection. In Proc. ACM ASE.

[28] Lingxiao Jiang, Ghassan Misherghi, Zhendong Su, and Stephane Glondu. 2007. DECKARD: Scalable and Accurate Tree-Based Detection of Code Clones. In Proc. ACM ICSE.

[29] Sukrit Kalra, Seep Goel, Mohan Dhawan, and Subodh Sharma. 2018. ZEUS: Analyzing Safety of Smart Contracts. In Proc. ISOC NDSS.

[30] Toshihiro Kamiya, Shinji Kusumoto, and Katsuro Inoue. 2002. CCFinder: A Multilinguistic Token-based Code Clone Detection System for Large Scale Source Code. IEEE Transactions on Software Engineering (2002).

[31] Ghassan O. Karame, Elli Androulaki, and Srdjan Capkun. 2012. Double-Spending Fast Payments in Bitcoin. In Proc. ACM CCS.

[32] Olga Kharif. 2021. Crypto Market Cap Surpasses $2 Trillion After Doubling This Year. https://www.bloomberg.com/news/articles/2021-04-05/crypto-market-cap-doubles-past-2-trillion-after-two-month-surge.

[33] Seulbae Kim, Seunghoon Woo, Heejo Lee, and Hakjoo Oh. 2017. VUDDY: A Scalable Approach for Vulnerable Code Clone Discovery. In Proc. IEEE Symposium on Security and Privacy.

[34] Matt J. Kusner, Yu Sun, Nicholas I. Kolkin, and Kilian Q. Weinberger. 2015. From Word Embeddings to Document Distances. In Proc. IMLS ICML.

[35] Frank Li and Vern Paxson. 2017. A Large-Scale Empirical Study of Security Patches. In Proc. ACM CCS.
[36] Yujian Li and Bi Liu. 2007. A normalized Levenshtein Distance metric. IEEE Transactions On Pattern Analysis and Machine Intelligence (2007).

[37] Zhenmin Li, Shan Lu, Suvda Myagmar, and Yuanyuan Zhou. 2004. CP-Miner: A Tool for Finding Copy-paste and Related Bugs in Operating System Code. In Proc. USENIX OSDI.

[38] Zhenguang Liu, Peng Qian, Xiang Wang, Lei Zhu, Qinming He, and Shouling Ji. 2021. Smart Contract Vulnerability Detection: From Pure Neural Network to Interpretable Graph Feature and Expert Pattern Fusion. In Proc. IJCAI.

[39] Marta Lokhava, Giuliano Losa, David Mazières, Graydon Hoare, Nicolas Barry, Eli Gafni, Jonathan Jove, Rafał Malinowsky, and Jed McCaleb. 2019. Fast and Secure Global Payments with Stellar. In Proc. ACM SOSP.

[40] Kangjie Lu, Marie-Therese Walter, David Pfaff, Stefan Nümberger, Wenke Lee, and Michael Backes. 2017. Unleashing Use-Before-Initialization Vulnerabilities in the Linux Kernel Using Targeted Stack Spraying. In Proc. ISOC NDSS.

[41] Oliver Lutz, Huili Chen, Hossein Fereidooni, Christoph Sendner, Alexandra Dmitrienko, Ahmad-Reza Sadeghi, and Farinaz Koushanfar. 2021. ESCORT: Ethereum Smart COntRacTs Vulnerability Detection using Deep Neural Network and Transfer Learning. CoRR abs/2103.12607 (2021).

[42] Loi Luu, Duc-Hiep Chu, Hrishi Olickel, Prateek Saxena, and Aquinas Hobor. 2016. Making Smart Contracts Smarter. In Proc. ACM CCS.

[43] Deepak Maram, Harjasleen Malvai, Fan Zhang, Nerla Jean-Louis, Alexander Frolov, Tyler Kell, Tyrone Lobban, Christine Moy, Ari Juels, and Andrew Miller. 2021. CanDID: Can-Do Decentralized Identity with Legacy Compatibility, Sybil-Resistance, and Accountability. In Proc. IEEE Symposium on Security and Privacy.

[44] Tomas Mikolov, Ilya Sutskever, Kai Chen, Greg Corrado, and Jeffrey Dean. 2013. Distributed Representations of Words and Phrases and Their Compositionality. In Proc. NIPS.

[45] Satoshi Nakamoto. 2008. Bitcoin: A peer-to-peer electronic cash system. white paper (2008).

[46] Shen Noether. 2015. Ring SIgnature Confidential Transactions for Monero. IACR Cryptol. ePrint Arch. (2015).

[47] Michael Rodler, Wenting Li, Ghassan O. Karame, and Lucas Davi. 2019. Sereum: Protecting Existing Smart Contracts Against Re-Entrancy Attacks. In Proc. ISOC NDSS.

[48] Peter J. Rousseeuw. 1987. Silhouettes: A graphical aid to the interpretation and validation of cluster analysis. J. Comput. Appl. Math. (1987).

[49] Bo Tang, Hongjuan Kang, Jingwen Fan, Qi Li, and Ravi S. Sandhu. 2019. IoT Passport: A Blockchain-Based Trust Framework for Collaborative Internet-of-Things. In Proc. ACM SACMAT.

[50] Yuan Tian, Julia L. Lawall, and David Lo. 2012. Identifying Linux Bug Fixing Patches. In Proc. ACM ICSE.

[51] Christof Ferreira Torres, Antonio Ken Iannillo, Arthur Gervais, and Radu State. 2021. ConFuzzius: A Data DependencyAware Hybrid Fuzzer for Smart Contracts. In Proc. IEEE European Symposium on Security and Privacy.

[52] Petar Tsankov, Andrei Dan, Dana Drachsler-Cohen, Arthur Gervais, Florian Bünzli, and Martin Vechev. 2018. Securify: Practical Security Analysis of Smart Contracts. In Proc. ACM CCS.

[53] Zhiyuan Wan, David Lo, Xin Xia, and Liang Cai. 2017. Bug Characteristics in Blockchain Systems: A Large-Scale Empirical Study. In Proc. ACM MSR.

[54] Zhilong Wang, Xuhua Ding, Chengbin Pang, Jian Guo, Jun Zhu, and Bing Mao. 2018. To detect stack buffer overflow with polymorphic canaries. In Proc. DSN.

[55] Sam M Werner, Daniel Perez, Lewis Gudgeon, Ariah Klages-Mundt, Dominik Harz, and William J Knottenbelt. 2021. SoK: Decentralized Finance (DeFi). CoRR arXiv abs/2101.08778 (2021).

[56] Daoyuan Wu, Debin Gao, Eric K. T. Cheng, Yichen Cao, Jintao Jiang, and Robert H. Deng. 2019. Towards Understanding Android System Vulnerabilities: Techniques and Insights. In Proc. ACM AsiaCCS.

[57] Yang Xiao, Bihuan Chen, Chendong Yu, Zhengzi Xu, Zimu Yuan, Feng Li, Binghong Liu, Yang Liu, Wei Huo, Wei Zou, and Wenchang Shi. 2020. MVP: Detecting Vulnerabilities using Patch-Enhanced Vulnerability Signatures. In Proc. USENIX Security.

[58] Meng Xu. 2020. Finding Race Conditions in Kernels: The Symbolic Way and the Fuzzy Way. Ph.D. Dissertation. Georgia Institute of Technology.

[59] Fabian Yamaguchi, Nico Golde, Daniel Arp, and Konrad Rieck. 2014. Modeling and Discovering Vulnerabilities with Code Property Graphs. In Proc. IEEE Symposium on Security and Privacy.

[60] Wei You, Peiyuan Zong, Kai Chen, XiaoFeng Wang, Xiaojing Liao, Pan Bian, and Bin Liang. 2017. SemFuzz: SemanticsBased Automatic Generation of Proof-of-Concept Exploits. In Proc. ACM CCS.

[61] Fan Zhang, Ethan Cecchetti, Kyle Croman, Ari Juels, and Elaine Shi. 2016. Town Crier: An authenticated data feed for smart contracts. In ACM CCS.

[62] Fan Zhang, Deepak Maram, Harjasleen Malvai, Steven Goldfeder, and Ari Juels. 2020. DECO: Liberating web data using decentralized oracles for TLS. In Proc. ACM CCS.

[63] Mengya Zhang, Xiaokuan Zhang, Yinqian Zhang, and Zhiqiang Lin. 2020. TXSPECTOR: Uncovering Attacks in Ethereum from Transactions. In USENIX Security.

[64] Zheng Zhang, Hang Zhang, Zhiyun Qian, and Billy Lau. 2021. An Investigation of the Android Kernel Patch Ecosystem. In Proc. USENIX Security.

[65] Mingyi Zhao, Jens Grossklags, and Peng Liu. 2015. An Empirical Study of Web Vulnerability Discovery Ecosystems. In Proc. ACM CCS.

[66] Liyi Zhou, Kaihua Qin, Antoine Cully, Benjamin Livshits, and Arthur Gervais. 2021. On the Just-In-Time Discovery of Profit-Generating Transactions in DeFi Protocols. In Proc. IEEE Symposium on Security and Privacy.

njamin Livshits, and Arthur Gervais. 2021. On the Just-In-Time Discovery of Profit-Generating Transactions in DeFi Protocols. In Proc. IEEE Symposium on Security and Privacy.

[67] Yaqin Zhou and Asankhaya Sharma. 2017. Automated Identification of Security Issues from Commit Messages and Bug Reports. In Proc. ACM FSE.

你可能感兴趣的:(区块链安全基础知识,区块链,安全,去中心化)

  • DataSecOps的要点 jackyrongvip 数据安全DataSecOps网络安全
    2020年首次提出,DataSecOps是一种敏捷、全面、内置安全的方法,用于协调不断变化的数据及其用户,旨在快速提供数据价值,同时确保数据的私密性、安全性和良好的管理。强调数据全生命周期流转运营过程中的内嵌安全属性,将敏感数据在基于业务的流动各环节和状态下的安全风险动态统一把控。
  • 华为OD机试 - RSA加密算法(Python/JS/C/C++ 2024 E卷 100分) 哪 吒 华为odpythonjavascript
    华为OD机试2024E卷题库疯狂收录中,刷题点这里专栏导读本专栏收录于《华为OD机试真题(Python/JS/C/C++)》。刷的越多,抽中的概率越大,私信哪吒,备注华为OD,加入华为OD刷题交流群,每一题都有详细的答题思路、详细的代码注释、3个测试用例、为什么这道题采用XX算法、XX算法的适用场景,发现新题目,随时更新,全天CSDN在线答疑。一、题目描述RSA加密算法在网络安全世界中无处不在,它
  • 华为OD机试 - 最大连续文件之和(Python/JS/C/C++ 2024 E卷 200分) 哪 吒 华为odpythonjavascript
    华为OD机试2024E卷题库疯狂收录中,刷题点这里专栏导读本专栏收录于《华为OD机试真题(Python/JS/C/C++)》。刷的越多,抽中的概率越大,私信哪吒,备注华为OD,加入华为OD刷题交流群,每一题都有详细的答题思路、详细的代码注释、3个测试用例、为什么这道题采用XX算法、XX算法的适用场景,发现新题目,随时更新,全天CSDN在线答疑。一、题目描述区块链底层存储是一个链式文件系统,由顺序的
  • 2024年前端面试题加答案 2401_86372526 前端
    26、eval是做什么的?eval可以把字符串解析成JS代码并运行;避免使用eval,不安全,非常消耗性能;把JSON字符串传换成JSON对象时可以使用eval。27、null和underfined的区别?null表示定义了一个对象,值为“空值”;underfined表示这个不存在这个值。28、说说同步和异步的区别?同步:在同一时间内不允许出现别的操作。异步:在同一时间内允许不同的操作。29、de
  • 实验八 数据的增删改操作 无尽罚坐的人生 #数据库原理数据库
    实验八数据的增删改操作一、实验目的1.掌握ManagementStudio的使用。2.掌握SQL中INSERT、UPDATE、DELETE命令的使用。二、实验内容及要求用SQL语句完成下列功能。使用数据库为SCHOOL数据库。1、新开设一门课程,名叫网络安全与防火墙,学时40,编号为“0118”,主要介绍网络的安全与主要的防火墙软件。insertcourse(course_id,course_na
  • Django 4.0常见问题及其解决方案汇总 昏睡的大熊猫 djangopython
    Django4.0,常见问题及其解决方案汇总前言当涉及Django4.0框架时,开发人员经常会面临各种挑战和问题。解决这些问题需要深入了解框架的功能和最佳实践。以下是针对Django4.0常见问题的解决方案汇总,涵盖了从安全性到性能优化的多个方面。这些解决方案旨在帮助开发人员更好地理解和应对在开发过程中可能遇到的困难,确保他们能够构建稳健、高效的Web应用程序。1.如何处理数据库迁移?2.如何处理
  • python3调用arcpy地理加权回归_分析地理加权回归分析结果的操作方法 weixin_39545269
    1从地理加权回归(GWR)工具生成的输出包括以下内容:输出要素类可选系数栅格表面整体模型结果的消息窗口报告显示模型变量和诊断结果的辅助表预测输出要素类2下文中将使用一系列运行GWR和解释GWR结果的步骤对以上每项输出进行说明。通常将以普通最小二乘法(OLS)开始回归分析。有关详细信息,请参阅回归分析基础知识和解释OLS回归结果。回归分析的一种常用方法是在移动到GWR之前识别可能的最佳OLS模型。此
  • 等保测评过程中通常会遇到哪些常见问题 黑龙江亿林等级保护测评 安全网络web安全django大数据算法数据结构
    常见问题1.信息泄露风险信息系统存储、传输和处理的敏感信息可能被非法获取,导致个人隐私泄露或商业秘密泄露。解决方法:加强数据加密措施,确保数据传输和存储的安全性,定期进行安全培训,提高员工的安全意识和应对能力。2.拒绝服务(DoS)攻击风险针对系统资源的攻击可能导致系统或服务暂时或永久不可用。解决方法:增强系统的抗DoS攻击能力,部署有效的流量监控和清洗设备。3.恶意软件风险包括计算机病毒、木马、
  • 198、Django安全攻略:全方位防护Web应用常见漏洞 多多的编程笔记 django安全前端
    Python开发框架Django之安全性:防止常见的Web安全漏洞本文将为大家介绍Python开发框架Django的安全性,重点关注如何防止常见的Web安全漏洞。我们将简要了解Web安全漏洞的背景知识,然后深入探讨Django框架在防止这些漏洞方面的优势,最后提供一些实用的技巧和案例。一、Web安全漏洞概述在互联网时代,Web安全漏洞已经成为黑客攻击的首选目标。常见的Web安全漏洞包括:跨站脚本攻
  • cve-2024-53376:CyberPanel RCE 已发布PoC 棉花糖网络安全圈 漏洞复现网络安全
    安全研究员Thanatos发现流行的虚拟主机控制面板CyberPanel存在一个严重漏洞(CVE-2024-53376),攻击者可利用该漏洞完全控制服务器。2.3.8之前的CyberPanel版本易受此安全漏洞影响,通过验证的用户可注入并执行操作系统(OS)命令。该漏洞位于/websites/submitWebsiteCreation,可通过简单的HTTPOPTIONS请求加以利用。攻击者可借此绕
  • Fortify 24.2.0版本最新版 win/mac/linux 棉花糖网络安全圈 工具分享macoslinux运维网络安全
    工具介绍:FortifySCA作为一款业内主流的静态代码扫描工具,被广泛应用于白盒测试中。与其他静态代码扫描工具相比,FortifySCA的突出优势主要在于更加广泛地支持的语言和开发平台、更全面和权威的安全规则库使扫描更加全面、更加智能化的自定义规则可减少误报。近期FortifySCA发布了最新版本Fortify24.2.0,主要更新有:1、功能/更新·ARMJSON模板(IaC)·AWSClou
  • Linux安全体系学习笔记之二:OpenSSL源代码分析(1) Aegeaner 安全Linux安全体系学习笔记代码分析linuxsslsessioncallbackextension
    OpenSSL的源代码包括三部分:加密算法库、SSL库和应用程序。加密算法库的源代码主要在crypto文件夹里,包括ASN.1编码与解码接口(crypto/asn1/asn1.h),伪随机数产生器(crypto/rand/rand.h),ENGINE机制(crypto/engine),统一密码算法的EVP密码算法接口(crypto/evp/evp.h),大数运算接口(crypto/bn/bn.h)
  • 如何在亚马逊上避免账户关联风险?全面解析与实用策略 跨境猫小妹 大数据
    亚马逊账户关联问题无疑是卖家们心中的一块大石头,一旦触发关联风险,不仅可能影响流量和销量,还可能导致账户被冻结甚至封号。那么,如何有效规避这些风险,确保业务的稳定和安全呢?本文将从关联的原理出发,为您提供全方位的防关联操作流程解析。亚马逊关联风险:是什么,为什么重要?亚马逊规定,一个卖家原则上只能拥有一个账户,除非获得官方批准的多账户权限。关联风险,简而言之,就是亚马逊通过技术手段识别出多个账户属
  • flutter面试题及答案,Android架构师必备框架技能核心笔记 2401_84415652 程序员flutterandroid笔记
    常规电话面试1JAVA基础思想:设计模式与面向对象2安卓View绘制流程3常规的组件问题4事件分发机制5多线程和安全问题6安卓性能优化和兼容问题:性能优化回答具体面试1线程池原理2线程安全有多少种实现方式3图片加载框架原理4Http协议原理5Okhttp原理6各种内存优化7垃圾回收机制原理8谈谈对同步请求和异步请求的理解9怎么保证同步和异步10Intentservise,底层原理实现11Handl
  • C#:25大前沿特性揭秘 步、步、为营 c#开发语言
    一、引言C#,这门诞生于2000年的编程语言,自问世以来便在软件开发领域留下了浓墨重彩的一笔。它是微软.NET框架的旗舰语言,由安德斯・海尔斯伯格(AndersHejlsberg)领导的团队精心打造,设计哲学融合了C和C++的强大性能以及Java的安全性和高级特性,为开发者带来了现代、高效且易于使用的编程体验。回首C#的发展历程,那是一部不断进化的技术史。2002年,C#1.0正式发布,与.NET
  • 调用wx.openDocument,文件或文件夹不在白名单中, 上传时会被忽略, 在真机上可能无法读取 黑云压城After 微信uni-app前端微信小程序
    1.这个问题可能是由于微信小程序的安全策略导致的。微信小程序对于网络请求和文件读取都有一些限制,其中包括白名单机制。如果你的小程序中的文件不在白名单中,那么在真机上可能无法读取。怎么解决这个问题,我们先使用uni.downloadFile把后台接口或者本地的PDF以及其他格式转为获取到本地临时路径。然后再使用uni.openDocument就可以了。[代码]复制就能用。Click(){//this
  • MarsCode算法题之补给站最优花费问题 xiao--xin 豆包MarsCode算法题算法java动态规划MarsCode
    1.问题描述小U计划进行一场从地点A到地点B的徒步旅行,旅行总共需要M天。为了在旅途中确保安全,小U每天都需要消耗一份食物。在路程中,小U会经过一些补给站,这些补给站分布在不同的天数上,且每个补给站的食物价格各不相同。小U需要在这些补给站中购买食物,以确保每天都有足够的食物。现在她想知道,如何规划在不同补给站的购买策略,以使她能够花费最少的钱顺利完成这次旅行。M:总路程所需的天数。N:路上补给站的
  • 云服务器拖拽文件,快捷拖动文件到远程服务器 weixin_39631370 云服务器拖拽文件
    快捷拖动文件到远程服务器内容精选换一换远程桌面协议(RemoteDesktopProtocol,RDP),是微软提供的多通道的远程登录协议。本节为您介绍如何使用RDP文件远程登录Windows云服务器。从管理控制台下载的RDP文件对应唯一的云服务器,当前RDP文件命名规则为“云服务器名称-弹性IP”。云服务器状态为“运行中”。云服务器已经绑定弹性公网IP。所在安全组入方向远程连接Linux云服务器
  • MySQL存储引擎 JustGopher MySQL数据库mysql数据库
    MySQL体系结构连接层最上层是一些客户端和连接服务,主要完成一些类似于连接处理、授权认证、及相关的安全方案。服务器也会为每个安全接入的用户端验证它所具有的操作权限。服务层第二层架构主要完成大多数的核心服务功能,如SQL接口,并完成缓存的查询,SQL的分析和优化、部分内置函数的执行。所有跨存储引擎的功能也在这一层实现,如:过程、函数等。引擎层存储引擎真正的负责了MySQL中数据的存储和提取,服务器
  • 第30篇:Python开发进阶:网络安全与测试 猿享天开 python从入门到精通pythonweb安全开发语言
    第30篇:网络安全与测试目录网络安全概述什么是网络安全常见的安全威胁Python中的网络安全工具常用安全库介绍安全编码实践密码学基础加密与解密哈希函数数字签名安全认证与授权用户认证访问控制OAuth与JWTWeb应用安全常见的Web安全漏洞防护措施安全测试网络安全测试渗透测试自动化测试工具安全漏洞扫描使用Python进行安全测试使用Scapy进行网络嗅探使用Requests进行安全测试使用Beau
  • 麒麟 V10(ky10.x86_64)无网环境下 openssl - 3.2.2 与 openssh - 9.8p1 升级【最全教程】 寒冰碧海 Linux服务器运维指南安全linux运维服务器网络
    目录背景安装包下载上传解压安装包安装zlib安装OpenSSL安装OpenSSH验证背景近期,项目上线已进入倒计时阶段,然而在至关重要的安全检查环节中,却惊现现有的OpenSSH存在一系列令人担忧的漏洞:OpenSSH资源管理错误漏洞(CVE-2021-28041)OpenSSH信息泄露漏洞(CVE-2020-14145)OpenSSH输入验证错误漏洞(CVE-2020-12062)OpenSSH
  • 主流包管理工具npm、yarn、cnpm、pnpm之间的区别与联系——原理篇 2401_84091628 程序员npm前端node.js
    }解析,^字符,告诉npm,安装主版本等于4的任意一个版本即可现在运行npm进行安装,npm将安装lodash的主版本为4的最新版,可能是[email protected](@是npm约定用来确定包名的指定版本的)理论上,次版本号的变化并不会影响向后兼容性。因此,安装最新版的依赖库应该是能正常工作的,而且能引入自4.17.4版本以后的重要错误和安全方面的修复。但是,即使不同的开发人员使用了相同的packa
  • 使用Python和Flask搭建导航网站需要注意的问题有哪些? 大懒猫软件 pythonflask开发语言
    使用Python和Flask搭建导航网站时,需要注意以下几个关键问题,以确保网站的性能、安全性和可维护性。以下是一些常见问题和建议:1.性能优化静态文件缓存:确保静态文件(如CSS、JavaScript、图片)被浏览器缓存,减少重复请求。在Nginx中配置缓存头:nginx复制location~*\.(css|js|jpg|jpeg|png|gif)${expires1d;#设置缓存有效期为1天}
  • 终于把前后端sm加解密以及加签验证调通了。 清风孤客 前端javascriptspringjavaspringboot
    终于把前后端sm加解密以及加签验证调通了!领导要求我对项目的数据传输安全考虑下,因此就想到了对敏感字段做加密和对请求、响应做数字签名验证。网上看了很多文章,可能是因为我对加密这块不了解,感觉都比较乱。所以前前后后花了4天才把前后端调通。特地写一篇文章记录下流程。这里使用的是sm国密算法。不对的地方请读者评论指出。1.简单说明:前端使用sm-crypto库后端加密库使用bc库,架构上使用aop,注解
  • Web接口加密解密以及加签验证介绍 清风孤客 服务器网络运维
    在Web接口中,为了保护数据传输的安全性和完整性,可以使用加签和加密的方式进行保护。加签:加签是指在请求参数中添加签名信息,以验证请求的真实性和完整性。具体的步骤如下:定义一个密钥,用于生成签名和验证签名。将请求的参数按照一定的规则进行排序和拼接,生成一个字符串。使用密钥对生成的字符串进行加密,得到签名。将签名添加到请求参数中,发送请求。在服务端,对收到的请求参数按照同样的规则进行排序和拼接,再次
  • Linux: Apache 安全设定 iteye_5904 Ubuntu/Mac/Github/Aptana/Nginx/Shell/Linux数据库操作系统系统安全
    1.AutoIndex预设安装好Apache之后,其预设目录是在/var/www/html/,如果没有设定index.html的话,那么就会印出目前目录里的所有档案和目录,基於安全理由,希望把AutoIndex这个取消,如此在别人打入网址后,就会出现403的存取权限不足,只有在很“明确”的指出档案时才可以浏览。关闭/var/www/html里(含子目录)的自动印出首页功能[root@rhelcon
  • 网络安全(黑客)——自学2025 网安大师兄 web安全安全网络网络安全linux
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包前言什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习
  • 嵌入式Rust小探 weixin_40437029 rust
    说明现在很多项目都在从C++/C迁移到Rust,这是一种内存管理更安全的语言,从根本上可以防止一些指针操作的问题既然如此,那我们也尝试一下如何在嵌入式开发当中使用Rust,然后再慢慢迁移到更多代码https://doc.rust-lang.org/reference/introduction.htmlhttps://zhuanlan.zhihu.com/p/628575325https://www
  • 安全威胁情报简述 安全大哥 威胁情报安全网络
    什么是安全情报?从情报的类型上来看可以分为:资产情报、事件情报、漏洞情报和威胁情报。注意,我们常说的威胁情报,并不完全等同于安全情报。四大类信息[2]资产情报:主要用于确认企业自身的资产e.g.企业自身的数据SOC、SIEM数据日志、告警等。资产情报如何搜集?主要来自于企业的SOC(SecurityOperationCenter),SIEM(SecurityInformationandEventM
  • HTTPS安全版预告页面设计与实施指南 魔都财观
    本文还有配套的精品资源,点击获取简介:本文深入探讨了网站即将上线时,如何使用HTTPS协议创建一个安全且吸引人的预告页面。HTTPS是HTTP的安全版本,利用SSL/TLS协议提供数据加密、身份验证和数据完整性,对于保护用户隐私和提升网站信任度至关重要。文章详细阐述了构建预告页面时所需的基础HTML、CSS和JavaScript技术,并且讨论了如何配置HTTPS以及进行测试和SEO优化的重要性。1
  • 继之前的线程循环加到窗口中运行 3213213333332132 javathreadJFrameJPanel
    之前写了有关java线程的循环执行和结束,因为想制作成exe文件,想把执行的效果加到窗口上,所以就结合了JFrame和JPanel写了这个程序,这里直接贴出代码,在窗口上运行的效果下面有附图。 package thread; import java.awt.Graphics; import java.text.SimpleDateFormat; import java.util
  • linux 常用命令 BlueSkator linux命令
    1.grep 相信这个命令可以说是大家最常用的命令之一了。尤其是查询生产环境的日志,这个命令绝对是必不可少的。 但之前总是习惯于使用 (grep -n 关键字 文件名 )查出关键字以及该关键字所在的行数,然后再用 (sed -n  '100,200p' 文件名),去查出该关键字之后的日志内容。 但其实还有更简便的办法,就是用(grep  -B n、-A n、-C n 关键
  • php heredoc原文档和nowdoc语法 dcj3sjt126com PHPheredocnowdoc
    <!doctype html> <html lang="en"> <head> <meta charset="utf-8"> <title>Current To-Do List</title> </head> <body> <?
  • overflow的属性 周华华 JavaScript
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml&q
  • 《我所了解的Java》——总体目录 g21121 java
            准备用一年左右时间写一个系列的文章《我所了解的Java》,目录及内容会不断完善及调整。         在编写相关内容时难免出现笔误、代码无法执行、名词理解错误等,请大家及时指出,我会第一时间更正。    &n
  • [简单]docx4j常用方法小结 53873039oycg docx
            本代码基于docx4j-3.2.0,在office word 2007上测试通过。代码如下:         import java.io.File; import java.io.FileInputStream; import ja
  • Spring配置学习 云端月影 spring配置
    首先来看一个标准的Spring配置文件 applicationContext.xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi=&q
  • Java新手入门的30个基本概念三 aijuans java新手java 入门
    17.Java中的每一个类都是从Object类扩展而来的。  18.object类中的equal和toString方法。  equal用于测试一个对象是否同另一个对象相等。  toString返回一个代表该对象的字符串,几乎每一个类都会重载该方法,以便返回当前状态的正确表示.(toString 方法是一个很重要的方法)   19.通用编程:任何类类型的所有值都可以同object类性的变量来代替。 
  • 《2008 IBM Rational 软件开发高峰论坛会议》小记 antonyup_2006 软件测试敏捷开发项目管理IBM活动
    我一直想写些总结,用于交流和备忘,然都没提笔,今以一篇参加活动的感受小记开个头,呵呵! 其实参加《2008 IBM Rational 软件开发高峰论坛会议》是9月4号,那天刚好调休.但接着项目颇为忙,所以今天在中秋佳节的假期里整理了下. 参加这次活动是一个朋友给的一个邀请书,才知道有这样的一个活动,虽然现在项目暂时没用到IBM的解决方案,但觉的参与这样一个活动可以拓宽下视野和相关知识.
  • PL/SQL的过程编程,异常,声明变量,PL/SQL块 百合不是茶 PL/SQL的过程编程异常PL/SQL块声明变量
    PL/SQL;    过程; 符号; 变量; PL/SQL块; 输出; 异常;     PL/SQL 是过程语言(Procedural Language)与结构化查询语言(SQL)结合而成的编程语言PL/SQL 是对 SQL 的扩展,sql的执行时每次都要写操作
  • Mockito(三)--完整功能介绍 bijian1013 持续集成mockito单元测试
            mockito官网:http://code.google.com/p/mockito/,打开documentation可以看到官方最新的文档资料。 一.使用mockito验证行为 //首先要import Mockito import static org.mockito.Mockito.*; //mo
  • 精通Oracle10编程SQL(8)使用复合数据类型 bijian1013 oracle数据库plsql
    /* *使用复合数据类型 */ --PL/SQL记录 --定义PL/SQL记录 --自定义PL/SQL记录 DECLARE TYPE emp_record_type IS RECORD( name emp.ename%TYPE, salary emp.sal%TYPE, dno emp.deptno%TYPE ); emp_
  • 【Linux常用命令一】grep命令 bit1129 Linux常用命令
    grep命令格式   grep [option] pattern [file-list]     grep命令用于在指定的文件(一个或者多个,file-list)中查找包含模式串(pattern)的行,[option]用于控制grep命令的查找方式。   pattern可以是普通字符串,也可以是正则表达式,当查找的字符串包含正则表达式字符或者特
  • mybatis3入门学习笔记 白糖_ sqlibatisqqjdbc配置管理
    MyBatis 的前身就是iBatis,是一个数据持久层(ORM)框架。  MyBatis 是支持普通 SQL 查询,存储过程和高级映射的优秀持久层框架。MyBatis对JDBC进行了一次很浅的封装。   以前也学过iBatis,因为MyBatis是iBatis的升级版本,最初以为改动应该不大,实际结果是MyBatis对配置文件进行了一些大的改动,使整个框架更加方便人性化。
  • Linux 命令神器:lsof 入门 ronin47 lsof
           lsof是系统管理/安全的尤伯工具。我大多数时候用它来从系统获得与网络连接相关的信息,但那只是这个强大而又鲜为人知的应用的第一步。将这个工具称之为lsof真实名副其实,因为它是指“列出打开文件(lists openfiles)”。而有一点要切记,在Unix中一切(包括网络套接口)都是文件。 有趣的是,lsof也是有着最多
  • java实现两个大数相加,可能存在溢出。 bylijinnan java实现
    import java.math.BigInteger; import java.util.regex.Matcher; import java.util.regex.Pattern; public class BigIntegerAddition { /** * 题目:java实现两个大数相加,可能存在溢出。 * 如123456789 + 987654321
  • Kettle学习资料分享,附大神用Kettle的一套流程完成对整个数据库迁移方法 Kai_Ge Kettle
    Kettle学习资料分享   Kettle 3.2 使用说明书 目录 概述..........................................................................................................................................7 1.Kettle 资源库管
  • [货币与金融]钢之炼金术士 comsci 金融
           自古以来,都有一些人在从事炼金术的工作.........但是很少有成功的        那么随着人类在理论物理和工程物理上面取得的一些突破性进展......        炼金术这个古老
  • Toast原来也可以多样化 dai_lm androidtoast
    Style 1: 默认 Toast def = Toast.makeText(this, "default", Toast.LENGTH_SHORT); def.show(); Style 2: 顶部显示 Toast top = Toast.makeText(this, "top", Toast.LENGTH_SHORT); t
  • java数据计算的几种解决方法3 datamachine javahadoopibatisr-languer
    4、iBatis     简单敏捷因此强大的数据计算层。和Hibernate不同,它鼓励写SQL,所以学习成本最低。同时它用最小的代价实现了计算脚本和JAVA代码的解耦,只用20%的代价就实现了hibernate 80%的功能,没实现的20%是计算脚本和数据库的解耦。     复杂计算环境是它的弱项,比如:分布式计算、复杂计算、非数据
  • 向网页中插入透明Flash的方法和技巧 dcj3sjt126com htmlWebFlash
    将 Flash 作品插入网页的时候,我们有时候会需要将它设为透明,有时候我们需要在Flash的背面插入一些漂亮的图片,搭配出漂亮的效果……下面我们介绍一些将Flash插入网页中的一些透明的设置技巧。   一、Swf透明、无坐标控制  首先教大家最简单的插入Flash的代码,透明,无坐标控制:   注意wmode="transparent"是控制Flash是否透明
  • ios UICollectionView的使用 dcj3sjt126com
    UICollectionView的使用有两种方法,一种是继承UICollectionViewController,这个Controller会自带一个UICollectionView;另外一种是作为一个视图放在普通的UIViewController里面。 个人更喜欢第二种。下面采用第二种方式简单介绍一下UICollectionView的使用。 1.UIViewController实现委托,代码如
  • Eos平台java公共逻辑 蕃薯耀 Eos平台java公共逻辑Eos平台java公共逻辑
     Eos平台java公共逻辑 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年6月1日 17:20:4
  • SpringMVC4零配置--Web上下文配置【MvcConfig】 hanqunfeng springmvc4
    与SpringSecurity的配置类似,spring同样为我们提供了一个实现类WebMvcConfigurationSupport和一个注解@EnableWebMvc以帮助我们减少bean的声明。   applicationContext-MvcConfig.xml <!-- 启用注解,并定义组件查找规则 ,mvc层只负责扫描@Controller --> <
  • 解决ie和其他浏览器poi下载excel文件名乱码 jackyrong Excel
       使用poi,做传统的excel导出,然后想在浏览器中,让用户选择另存为,保存用户下载的xls文件,这个时候,可能的是在ie下出现乱码(ie,9,10,11),但在firefox,chrome下没乱码, 因此必须综合判断,编写一个工具类:      /** * * @Title: pro
  • 挥洒泪水的青春 lampcy 编程生活程序员
    2015年2月28日,我辞职了,离开了相处一年的触控,转过身--挥洒掉泪水,毅然来到了兄弟连,背负着许多的不解、质疑——”你一个零基础、脑子又不聪明的人,还敢跨行业,选择Unity3D?“,”真是不自量力••••••“,”真是初生牛犊不怕虎•••••“,••••••我只是淡淡一笑,拎着行李----坐上了通向挥洒泪水的青春之地——兄弟连! 这就是我青春的分割线,不后悔,只会去用泪水浇灌——已经来到
  • 稳增长之中国股市两点意见-----严控做空,建立涨跌停版停牌重组机制 nannan408
       对于股市,我们国家的监管还是有点拼的,但始终拼不过飞流直下的恐慌,为什么呢?    笔者首先支持股市的监管。对于股市越管越荡的现象,笔者认为首先是做空力量超过了股市自身的升力,并且对于跌停停牌重组的快速反应还没建立好,上市公司对于股价下跌没有很好的利好支撑。    我们来看美国和香港是怎么应对股灾的。美国是靠禁止重要股票做空,在
  • 动态设置iframe高度(iframe高度自适应) Rainbow702 JavaScriptiframecontentDocument高度自适应局部刷新
    如果需要对画面中的部分区域作局部刷新,大家可能都会想到使用ajax。 但有些情况下,须使用在页面中嵌入一个iframe来作局部刷新。 对于使用iframe的情况,发现有一个问题,就是iframe中的页面的高度可能会很高,但是外面页面并不会被iframe内部页面给撑开,如下面的结构: <div id="content"> <div id=&quo
  • 用Rapael做图表 tntxia rap
    function drawReport(paper,attr,data){          var width = attr.width;     var height = attr.height;          var max = 0;   &nbs
  • HTML5 bootstrap2网页兼容(支持IE10以下) xiaoluode html5bootstrap
    <!DOCTYPE html> <html> <head lang="zh-CN"> <meta charset="UTF-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge">
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他