前端如何安全的渲染HTML字符串?

在现代的Web 应用中，动态生成和渲染 HTML 字符串是很常见的需求。然而，不正确地渲染HTML字符串可能会导致安全漏洞，例如跨站脚本攻击（XSS）。为了确保应用的安全性，我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践，以帮助你有效地避免潜在的安全风险。

一、常见渲染方式

首先来看一下如何在 HTML、React、Vue、Angular 中渲染HTML字符串。

HTML

在HTML中渲染HTML字符串，可以使用原生JavaScript的innerHTML属性或者创建元素节点并使用appendChild()方法来实现。

（1）使用innerHTML属性：可以通过获取要渲染HTML的目标元素，并将HTML字符串赋值给其innerHTML属性来渲染HTML字符串。例如：

这将在

内部渲染出

Hello, World!

。

（2）创建元素节点和appendChild()方法：可以使用document.createElement()方法创建元素节点，并使用appendChild()方法将该节点添加到父元素中。例如：

这将在

内部渲染出

Hello, World!

。

React

可以通过使用dangerouslySetInnerHTML属性在 React 中渲染HTML字符串。但是，正如这个属性的名字所言，它存在安全风险，HTML 不会被转义，可能会导致XSS问题，因此请慎重使用。

import React from 'react';

const MyComponent = () => {
  const htmlString = '
Hello, React!
';

  return (
    

);
}

export default MyComponent;

这里将要渲染的HTML字符串存储在htmlString变量中，并将其传递给dangerouslySetInnerHTML属性的__html属性。React会将该字符串作为HTML内容插入到被渲染的组件中。

Vue

可以使用v-html指令在Vue中渲染HTML字符串。与在React中使用dangerouslySetInnerHTML类似，使用v-html时需要格外小心。

这里将要渲染的HTML字符串存储在htmlString中，并通过v-html指令将其绑定到需要渲染的元素上（这里是

）。Vue会将htmlString中的字符串解析为HTML，并将其插入到被渲染的元素中。

Angular

可以使用[innerHTML]属性在Angular中渲染 HTML 字符串。

这里将要渲染的HTML字符串存储在名为htmlString的变量中，并将其绑定到[innerHTML]属性上。Angular会将htmlString中的字符串解析为HTML，并将其插入到相应的DOM节点中。

与其他框架相似，使用[innerHTML]属性绑定时要特别小心。确保渲染的HTML字符串是可靠和安全的，避免直接从用户输入或不受信任的来源获取HTML字符串，以防止XSS攻击等安全问题。

另外，Angular也提供了一些内置的安全机制来帮助保护应用免受安全威胁。例如，通过使用Angular的内置管道（如DomSanitizer）对HTML字符串进行转义和验证，可以提高应用的安全性。

import { Component } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Component({
  selector: 'app-example',
  template: `
    

  `,
})
export class ExampleComponent {
  htmlString: string = '
Hello, Angular!
';

  constructor(private sanitizer: DomSanitizer) {}

  getSafeHtml(): SafeHtml {
    return this.sanitizer.bypassSecurityTrustHtml(this.htmlString);
  }
}

这里首先导入DomSanitizer和SafeHtml，这是Angular的内置服务和类型。然后，在组件中使用DomSanitizer通过调用bypassSecurityTrustHtml()方法对HTML字符串进行转义和验证。最后，将返回的SafeHtml对象绑定到[innerHTML]属性上，以进行安全的HTML渲染。

通过使用DomSanitizer服务，Angular会对HTML字符串进行安全检查，并只允许受信任的内容进行渲染，从而减少潜在的安全风险。

注意，在使用DomSanitizer时，确保只对受信任和经过验证的HTML字符串进行操作，并避免直接从用户输入或不受信任的来源获取HTML字符串。这样可以确保应用的安全性，并防止潜在的XSS攻击等安全问题。

二、HTML Sanitizer API

从上面的例子中可以看到，在常见的框架以及在HTML中渲染HTML字符串都存在一定的安全风险。当将用户提供的或不受信任的HTML字符串直接渲染到应用中时，可能会导致跨站脚本攻击（XSS）等安全漏洞。因此，在处理和渲染HTML字符串时，需要采取适当的安全措施来防止潜在的安全问题。

那 HTML 中有没有方法可以让我们安全的渲染 HTML 字符串呢？有，它就是 HTML Sanitizer API。不过这个 API 目前仍然是实验性的，在主流浏览器都支持之前，尽量不要在生产环境使用。下面先来看看这个 API 是怎么用的，为未来该 API 普遍可用做准备。

是什么？

HTML Sanitizer API 在 2021 年初的草案规范中首次被宣布。它为网站上动态更新的HTML提供原生浏览器支持，可以从中删除恶意代码。可以使用 HTML Sanitizer API 在将不安全的 HTML 字符串和 Document 或 DocumentFragment 对象插入到 DOM 中之前对其进行清理和净化。

构建独立的 API 来进行清理的主要目标是：

• 减少 Web 应用中跨站脚本攻击的攻击面。
• 保证 HTML 输出在当前用户代理中的安全性。
• 提高清理器的可用性并使其更方便使用。

HTML Sanitizer API 的出现旨在提供一种方便且安全的方式来处理和净化 HTML，以减少潜在的安全风险，并提高用户代理的安全性。

Sanitizer API 带来了一系列新功能，用于字符串的净化过程：

• 用户输入的净化：该 API 的主要功能是接受并将字符串转换为更安全的形式。这些转换后的字符串不会意外执行 JavaScript，并确保您的应用程序受到跨站脚本攻击的保护。
• 浏览器维护：此库已预先安装在浏览器中，并将在发现错误或新的攻击向量时进行更新。因此，现在拥有了一个内置的净化器，无需导入任何外部库。
• 安全且简单易用：将净化操作转移到浏览器中使其更加便捷、安全和快速。由于浏览器已经具有强大而安全的解析器，它知道如何处理 DOM 中的每个活动元素。与浏览器相比，用 JavaScript 开发的外部解析器可能成本较高，并且很快就会过时。

怎么用？

使用 Sanitizer API 非常简单，只需使用 Sanitizer() 构造函数实例化 Sanitizer 类，并配置实例即可。

对于数据的净化，该 API 提供了三个基本方法。让我们看看应该如何以及何时使用它们。

• 使用隐含上下文对字符串进行净化 

Element.setHTML() 用于解析和净化字符串，并立即将其插入到 DOM 中。这适用于已知目标 DOM 元素并且 HTML 内容以字符串形式存在的情况。

const $div = document.querySelector('div');
const user_input = `Hello There`;
const sanitizer = new Sanitizer() // Our Sanitizer

$div.setHTML(user_input, sanitizer); // 
Hello There

这里想将 user_string 中的 HTML 插入到 id 为 target 的目标元素中。也就是说，希望实现得到与 target.innerHTML = value 相同的效果，但避免 XSS 风险。

• 使用给定上下文对字符串进行净化

Sanitizer.sanitizeFor() 用于解析、净化和准备字符串，以便稍后添加到 DOM 中。当 HTML 内容以字符串形式存在，并且已知目标 DOM 元素类型（例如 div、span）时，此方法最适用。

const user_input = `Hello There`
const sanitizer = new Sanitizer()

sanitizer.sanitizeFor("div", user_input) // HTMLDivElement 

Sanitizer.sanitizeFor()的第一个参数描述了此结果所用于的节点类型。

在使用 sanitizeFor() 方法时，解析 HTML 字符串的结果取决于其所在的上下文/元素。例如，如果将包含  元素的 HTML 字符串插入到 

 元素中，则是允许的。但如果将其插入到 

 元素中，它将被移除。因此，在使用 Sanitizer.sanitizeFor() 方法时，必须将目标元素的标签指定为参数。

sanitizeFor(element, input)

这里也可以使用 HTML 元素中的 .innerHTML 来获取字符串形式的清理结果。

sanitizer.sanitizeFor("div", user_input).innerHTML // Hello There

• 使用节点进行净化

当已经有一个用户可控的 DocumentFragment 时，可以使用 Sanitizer.sanitize() 方法对 DOM 树节点进行净化。

const sanitizer = new Sanitizer()
const $userDiv = ...;
$div.replaceChildren(s.sanitize($userDiv));

除此之外，Sanitizer API 还通过删除和过滤属性和标签来修改 HTML 字符串。例如，Sanitizer API：

• 删除某些标签（script、marquee、head、frame、menu、object 等），但保留内容标签。
• 删除大多数属性。只会保留  标签上的 href 和 

、

标签上的 colspans，其他属性将被删除。 过滤可能引起脚本执行的字符串。 自定义 默认情况下，Sanitizer 实例仅用于防止 XSS 攻击。但是，在某些情况下，可能需要自定义配置的清理器。接下来，下面来看看如何自定义 Sanitizer API。 如果想创建自定义的清理器配置，只需要创建一个配置对象，并在初始化 Sanitizer API 时将其传递给构造函数即可。 const config = { allowElements: [], blockElements: [], dropElements: [], allowAttributes: {}, dropAttributes: {}, allowCustomElements: true, allowComments: true }; // 清理结果由配置定制 new Sanitizer(config) 以下配置参数定义了清理器应如何处理给定元素的净化结果。 allowElements：指定清理器应保留在输入中的元素。 blockElements：指定清理器应从输入中删除但保留其子元素的元素。 dropElements：指定清理器应从输入中删除，包括其子元素在内的元素。 const str = `hello there` new Sanitizer().sanitizeFor("div", str) // hello there new Sanitizer({allowElements: [ "b" ]}).sanitizeFor("div", str) // hello there new Sanitizer({blockElements: [ "b" ]}).sanitizeFor("div", str) // hello there new Sanitizer({allowElements: []}).sanitizeFor("div", str) // hello there 使用 allowAttributes 和 dropAttributes 参数可以定义允许或删除哪个属性。 const str = `hello there` new Sanitizer().sanitizeFor("div", str) // hello there new Sanitizer({allowAttributes: {"style": ["span"]}}).sanitizeFor("div", str) // hello there new Sanitizer({dropAttributes: {"id": ["span"]}}).sanitizeFor("div", str) // hello there AllowCustomElements 参数允许或拒绝使用自定义元素。 const str = `hello there` new Sanitizer().sanitizeFor("div", str); // new Sanitizer({ allowCustomElements: true, allowElements: ["div", "elem"] }).sanitizeFor("div", str); // hello there 注意：如果创建的 Sanitizer 没有任何参数且没有明确定义的配置，则将应用默认配置值。 浏览器支持 目前，浏览器对 Sanitizer API 的支持有限，并且规范仍在制定中。该 API 仍处于实验阶段，因此在生产中使用之前应关注其变化进展。 三、第三方库 到这里我们就知道了，原生 API 和常用的前端框架都没有提供可用的方式来安全的渲染HTML。在实际的开发中，我们可以借助已有的第三方库来安全的渲染 HTML，下面就来介绍几个常用给的库。 DOMPurify DOMPurify 是一款流行的JavaScript库，用于在浏览器环境下进行HTML净化和防止跨站脚本攻击（XSS）。它通过移除恶意代码、过滤危险标签和属性等方式来保护网页免受XSS攻击的威胁。DOMPurify使用了严格的解析和验证策略，并提供了可配置的选项，以便开发人员根据自己的需求进行定制。它可以轻松地集成到现有的Web应用程序中，并且被广泛认为是一种安全可靠的HTML净化解决方案。 可以通过以下步骤来使用 DOMPurify： （1）首先，安装DOMPurify库。可以通过运行以下命令来安装它：2 npm install dompurify （2）在需要使用的组件文件中，引入DOMPurify库： import DOMPurify from 'dompurify'; （3）在组件的适当位置，使用 DOMPurify 来净化HTML字符串，下面以 React 为例： import React from 'react'; const MyComponent = () => { const userInput = ' Hello, World! '; const cleanedHtml = DOMPurify.sanitize(userInput); return ; }; 这里通过在React组件的dangerouslySetInnerHTML属性中传递净化后的HTML内容来显示安全的HTML。 DOMPurify提供了一些选项和配置，可以使用这些选项来自定义DOMPurify的行为： import DOMPurify from 'dompurify'; // 创建自定义的白名单（允许的标签和属性） const myCustomWhiteList = DOMPurify.sanitize.defaults.allowedTags.concat(['custom-tag']); const myCustomAttributes = ['data-custom-attr']; // 创建自定义选项 const myOptions = { ALLOWED_TAGS: myCustomWhiteList, ATTRIBUTES: { ...DOMPurify.sanitize.defaults.ALLOWED_ATTR, 'custom-tag': myCustomAttributes, }, }; const userInput = ' Hello, World! Custom Content'; const cleanedHtml = DOMPurify.sanitize(userInput, myOptions); console.log(cleanedHtml); // 输出: Hello, World! Custom Content 这里定义了一个自定义的白名单myCustomWhiteList，包含了DOMPurify默认的允许标签，并添加了一个名为custom-tag的自定义标签。我们还定义了一个包含自定义属性data-custom-attr的对象myCustomAttributes。然后，创建了一个自定义选项myOptions，通过覆盖ALLOWED_TAGS和ATTRIBUTES来应用自定义的白名单和属性规则。最后，使用DOMPurify.sanitize()方法，并传入用户输入的HTML和自定义选项myOptions，DOMPurify 会根据自定义规则进行过滤和净化。 可以根据需要定义自己的白名单（允许的标签）和属性，并在自定义选项中使用它们来自定义DOMPurify的行为。 js-xss js-xss是一个JavaScript库，用于防御和过滤跨站脚本攻击（XSS）。它提供了一组方法和函数，可以净化和转义用户输入的HTML内容，以确保在浏览器环境中呈现的HTML是安全的。 js-xss库使用白名单过滤器的概念来防御XSS攻击。它定义了一组允许的HTML标签和属性，同时还提供了一些选项和配置来定制过滤规则。使用js-xss，可以对用户提交的HTML内容进行净化，删除或转义所有潜在的危险代码，只保留安全的HTML标签和属性。 可以通过以下步骤来使用 js-xss： （1）安装js-xss库：通过npm或yarn安装js-xss库。 npm install xss （2）导入js-xss库：在React组件文件中导入js-xss库。 import xss from 'xss'; （3）使用js-xss过滤HTML内容：在需要过滤HTML的地方，调用js-xss的方法来净化HTML。 import React from 'react'; import xss from 'xss'; const MyComponent = () => { const userInput = ' Hello, World! '; const cleanedHtml = xss(userInput); return ; }; export default MyComponent; 这里在MyComponent组件中使用了dangerouslySetInnerHTML属性来渲染HTML内容。通过调用xss()函数并传入用户输入的HTML，我们可以将其过滤和净化，并将结果设置为组件的内容。 js-xss库提供了一些选项和配置，可以使用这些选项来定义自定义的过滤规则： import xss from 'xss'; // 创建自定义WhiteList过滤规则 const myCustomWhiteList = { a: ['href', 'title', 'target'], // 只允许'a'标签的'href', 'title', 'target'属性 p: [], // 允许空白的'p'标签 img: ['src', 'alt'], // 只允许'img'标签的'src', 'alt'属性 }; // 创建自定义选项 const myOptions = { whiteList: myCustomWhiteList, // 使用自定义的WhiteList过滤规则 }; const userInput = ' Hello, World! Example'; const cleanedHtml = xss(userInput, myOptions); console.log(cleanedHtml); // 输出: Hello, World! Example 这里定义了一个自定义的WhiteList过滤规则myCustomWhiteList，并将其传递给定义的选项myOptions。然后，调用xss()函数时传入用户输入的HTML和自定义选项，js-xss库会根据自定义的规则进行过滤和净化。 sanitize-html sanitize-html 是一个用于净化和过滤HTML代码的JavaScript库。它被设计用于去除潜在的恶意或不安全的内容，以及保护应用程序免受跨站脚本攻击（XSS）等安全漏洞的影响。它提供了一种简单而灵活的方式来清理用户输入的HTML代码，以确保只有安全的标签、属性和样式保留下来，并且不包含任何恶意代码或潜在的危险内容。 sanitize-html使用一个白名单（配置选项）来定义允许的标签、属性和样式，并将所有不在白名单内的内容进行过滤和删除。它还可以处理不匹配的标签、标签嵌套问题和其他HTML相关的问题。 可以通过以下步骤来使用 sanitize-html： （1）在项目中安装sanitize-html库： npm install sanitize-html （2）在组件中引入sanitize-html库： import sanitizeHtml from 'sanitize-html'; （3）在组件中使用sanitizeHtml函数来净化和过滤HTML代码。例如，您以将用户输入的HTML存储在组件的状态或属性中，并在渲染时应用sanitizeHtml函数： import React from 'react'; import sanitizeHtml from 'sanitize-html'; function MyComponent() { const userInput = ' Hello, World! '; const cleanedHtml = sanitizeHtml(userInput); return ( ); } 这里在组件内部定义了用户输入的HTML代码，并使用sanitizeHtml函数对其进行净化。然后，使用dangerouslySetInnerHTML属性将经过净化的HTML代码渲染到页面上。 可以使用sanitize-html提供的sanitize函数并传递一个配置对象作为参数来自定义sanitize-html的配置，配置对象可以包含一系列选项，用于定义过滤规则和允许的HTML标签和属性等。 import sanitizeHtml from 'sanitize-html'; const customConfig = { allowedTags: ['b', 'i', 'u'], // 允许的标签 allowedAttributes: { a: ['href'] // 允许的a标签属性 }, allowedSchemes: ['http', 'https'], // 允许的URL协议 allowedClasses: { b: ['bold', 'highlight'], // 允许的b标签的class i: ['italic'] // 允许的i标签的class }, transformTags: { b: 'strong', // 将b标签转换为strong标签 i: 'em' // 将i标签转换为em标签 }, nonTextTags: ['style', 'script', 'textarea', 'noscript'] // 不允许解析的标签 }; const userInput = 'Hello World Link'; const cleanedHtml = sanitizeHtml(userInput, customConfig); 这里创建了一个名为customConfig的配置对象，其中包含了一些自定义的过滤规则和选项。这个配置对象定义了允许的标签、允许的属性、允许的URL协议、允许的CSS类名、标签的转换规则以及不允许解析的标签等。 然后，将用户输入的HTML代码作为第一个参数传递给sanitizeHtml函数，并将customConfig作为第二个参数传递。sanitizeHtml函数将根据配置对象中定义的规则对HTML代码进行过滤和净化，并返回经过净化后的HTML代码。 相关拓展：前端开发利器 扯个嗓子！关于目前低代码在技术领域很活跃！ 低代码是什么？一组数字技术工具平台，能基于图形化拖拽、参数化配置等更为高效的方式，实现快速构建、数据编排、连接生态、中台服务等。通过少量代码或不用代码实现数字化转型中的场景应用创新。它能缓解甚至解决庞大的市场需求与传统的开发生产力引发的供需关系矛盾问题，是数字化转型过程中降本增效趋势下的产物。 这边介绍一款好用的低代码平台——JNPF快速开发平台。近年在市场表现和产品竞争力方面表现较为突出，采用的是最新主流前后分离框架（SpringBoot+Mybatis-plus+Ant-Design+Vue3）。代码生成器依赖性低，灵活的扩展能力，可灵活实现二次开发。 以JNPF为代表的企业级低代码平台为了支撑更高技术要求的应用开发，从数据库建模、Web API构建到页面设计，与传统软件开发几乎没有差异，只是通过低代码可视化模式，减少了构建“增删改查”功能的重复劳动，还没有了解过低代码的伙伴可以尝试了解一下。 应用：https://www.jnpfsoft.com/?csdn 有了它，开发人员在开发过程中就可以轻松上手，充分利用传统开发模式下积累的经验。所以低代码平台对于程序员来说，有着很大帮助。 你可能感兴趣的:(前端,安全,html) h5 uniapp html2canvas生成海报,保存到本地功能实现； js小白羊 uni-appjavascript前端 html2canvas生成海报,保存到本地功能实现1.在开发过程中我们将HTML2canvas封装成一个组件，通过prop传递ID参数2.组件的使用，伪代码不要直接复制uniapp语法3.h5保存生成后的图片到本地方法;1.在开发过程中我们将HTML2canvas封装成一个组件，通过prop传递ID参数在组件中，通过prop接收ID的，ID的变化来触发render.js里面的函数。html2can [1138]基于JAVA的安全监管网络人员信息智慧管理系统的设计与实现 阿鑫学长【毕设工场】 java网络开发语言课程设计毕业设计 毕业设计（论文）开题报告表姓名学院专业班级题目基于JAVA的安全监管网络人员信息智慧管理系统的设计与实现指导老师（一）选题的背景和意义选题背景与意义：随着信息技术的飞速发展和大数据时代的到来，安全监管网络人员信息管理面临着前所未有的挑战与机遇。当前，执法人员、监督员以及各类从业人员的信息档案管理工作日益繁重，传统的人工管理模式效率低下、易出错且难以满足实时更新、精准查询的需求。特别是在复杂的执法环 html+css网页设计，我的网站 软件技术NINI html/css笔记javascripthtmlcss 一、技术简介HTML：超文本标记语言（HyperTextMarkupLanguage），用于创建网页的基本结构和内容。CSS：层叠样式表（CascadingStyleSheets），用于设置网页的样式和布局，包括字体、颜色、边距、对齐方式等。JavaScript：一种用于创建动态和交互式网页的脚本语言。通过JavaScript，可以实现网页的动画效果、表单验证、数据交互等功能。二、创建多页网站的基 在Hadoop集群中实现数据安全：技术与策略并行 Echo_Wish 实战高阶大数据hadoop大数据分布式 在Hadoop集群中实现数据安全：技术与策略并行随着大数据技术的广泛应用，Hadoop已经成为处理和存储海量数据的首选平台。然而，随着数据规模的扩大，如何确保Hadoop集群中的数据安全也成为了亟待解决的难题。毕竟，数据安全不仅关系到企业的隐私保护，也直接影响到数据的可信度与可用性。本文将探讨如何在Hadoop集群中实现数据安全，分析数据加密、访问控制、审计日志等方面的技术与策略，并通过一些具体的 用AI提升电商平台的客户体验：从个性化推荐到智能客服 Echo_Wish 人工智能前沿技术人工智能 用AI提升电商平台的客户体验：从个性化推荐到智能客服随着电商行业的竞争日益激烈，如何在海量商品中脱颖而出，吸引和保持客户的关注，成为平台生存和发展的关键。而在这场竞争中，人工智能（AI）正在发挥着越来越重要的作用。AI不仅可以优化电商平台的后台操作，还能在前端提供更为个性化、智能化的客户体验，让消费者感受到前所未有的便捷与高效。本文将从个性化推荐、智能客服、智能搜索等方面，详细探讨如何通过AI技术 html 字体图标不显示不出来了,h5页面字体图标显示不正常 微基因WeGene html字体图标不显示不出来了 问题描述开发的是微信公众号的纯静态H5页面，测试发现在iOS上面首次打开会出现字体图标无法显示的问题，并且切换到其它页面，字体图标也是一样无法显示：只能使用微信的右上角内的刷新选项，所有页面的图标就可正常显示，浏览其它页也正常：P.S.所有页面在iOS自带的safari或者chrome浏览器均可正常显示，在android也是正常显示。相关代码HTML:CSS:@charset"UTF-8";@fo html页面跳转先显示底部,H5页面在IOS微信中跳转时，会出现底部工具栏，遮挡页面底部内容... 一一MIO一一 html页面跳转先显示底部 问题描述：在IOS微信中打开H5页面，当浏览器内出现跳转产生url历史记录时，页面底部会出现一个带有前进和后退按钮的工具栏，会遮挡页面底部的内容。css分析缘由：页面跳转时，微信浏览器经过window.history读取到浏览的历史记录，此时便会在页面底部显示出前进后退按钮的工具栏，形成页面底部内容遮挡。但刷新一下该页面，就不会遮挡了。底部的工具栏是在页面完成渲染以后才渲染的。html解决方案：i Golang的代码质量评估 苹果酱0567 面试题汇总与解析课程设计springbootlayui毕业设计java Golang的代码质量评估一、代码质量的重要性在软件开发过程中，代码质量是至关重要的，它直接关系到软件的稳定性、可维护性和安全性。而Golang作为一门快速发展的编程语言，其代码质量也备受关注。因此，对Golang代码的质量进行评估至关重要。二、静态代码分析工具在评估Golang代码质量时，我们可以使用静态代码分析工具来帮助我们发现潜在的问题。其中比较知名的工具包括：是Golang的官方静态代码分 PHP语法入门完全指南（2024新版） 生信天地 php开发语言 一、开发环境搭建1.1快速启动方案本地环境：安装XAMPP（含Apache+PHP+MySQL）在线沙盒：使用PHPSandboxDocker方案（推荐）：dockerrun-it-p80:80-v$(pwd):/var/www/htmlphp:8.2-apache1.2第一个PHP程序▶️运行方式：浏览器访问http://localhost/01_hello.php二、基础语法核心2.1变量与常 HTML、Vue和PHP文件的区别与联系 生信天地 htmlvue.jsphp 一、核心区别类型性质执行环境功能特点.html静态标记语言浏览器直接解析定义页面结构和内容，无逻辑处理能力.vue前端框架组件文件浏览器/构建工具整合HTML模板+JS逻辑+CSS样式，支持动态数据绑定和组件化开发.php服务器端脚本语言文件Web服务器执行动态生成HTML内容，支持数据库操作和业务逻辑处理二、联系与协作PHP与HTMLPHP文件通过标签嵌入HTML，服务器执行PHP代码后输出纯H 安全沙箱介绍 hao_wujing 网络运维 大家读完觉得有帮助，记得关注和点赞！！！一、安全沙箱介绍1、为什么需要安全沙箱？高级持续性威胁（APT）是指针对特定目标进行的复杂、精心策划的网络攻击，具有高度隐蔽性、持续性和复杂性等特点。这些特点使得APT攻击难以被传统安全措施检测到，因此对于网络安全分析而言，如何有效地识别和防御APT攻击具有重要意义。关于APT的具体介绍可以参考：APT攻击和防御《郑伯克段于鄢》的故事告诉我们，欲使敌人灭亡， Ajax基础学习 喜欢代码的新之助 ajax学习okhttp AJAX浏览器本身就具备网络通信的能力，但在早期浏览器并没有把这个能力开放给JS最早是微软在IE浏览器中把这一能力向JS开放，让JS可以在代码中实现发送请求，这项技术在2005年被正式命名为AJAX（AsynchronousJavascriptAndXML）这套API主要依靠一个构造函数完成；该构造函数的名称为XMLHttpRequest，简称为XHR由于XHRAPI有着诸多缺陷，在HTML5和E 设置GaussDB实例安全组规则 如清风一般 gaussdb安全数据库 设置GaussDB实例安全组规则操作场景安全组是一个逻辑上的分组，为同一个虚拟私有云内具有相同安全保护需求，并相互信任的弹性云服务器和GaussDB实例提供访问策略。如果账号已经申请创建时支持不指定安全组的白名单，则不需要执行本章节，而且在实例详情页也不会有内网安全组信息。为了保障数据库的安全性和稳定性，在使用GaussDB实例之前，您需要设置安全组，开通需访问数据库的IP地址和端口。内网连接Ga 什么是GaussDB 如清风一般 gaussdb 什么是GaussDB简介GaussDB是华为自主创新研发的分布式关系型数据库。该产品具备企业级复杂事务混合负载能力，同时支持分布式事务，同城跨AZ部署，数据0丢失，支持1000+的扩展能力，PB级海量存储。同时拥有云上高可用，高可靠，高安全，弹性伸缩，一键部署，快速备份恢复，监控告警等关键能力，能为企业提供功能全面，稳定可靠，扩展性强，性能优越的企业级数据库服务。应用场景交易型应用大并发、大数据量 常见的网络安全设备 什么网络 web安全网络php 1、防火墙定义防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。主要功能1、过滤进、出网络的数据2、防止不安全的协议和服务3、管理进、出网络的访问行为4、记录通过防火墙的信息内容5、对网络攻击进行检测与警告6、防止外部对内部 构建现代微服务安全体系：Spring Security、JWT 与 Spring Cloud Gateway 实践 wy02_ 微服务安全spring 构建现代微服务安全体系：SpringSecurity、JWT与SpringCloudGateway实践本文将基于提供的代码示例，详细介绍如何在一个Java微服务项目中使用SpringSecurity、JWT和SpringCloudGateway来构建一个高效且安全的微服务体系，并整合性能优化措施。基础流程登录认证：客户端通过用户名和密码获取JWT流程描述：客户端发送包含用户名和密码的登录请求到身份 阿里云视频点播，基于thinkphp8上传视频 quweiie php阿里云音视频云计算 前端参考官方示例(jQuery版)阿里云JavaScript上传SDKDemo(使用jquery).container{width:1200px;margin:0auto;}.input-control{margin:5px0;}.input-controllabel{font-size:14px;color:#333;width:30%;text-align:right;display:inli WEB安全--SQL注入--POST传参注入、SQL头部注入 神经毒素 web安全sql安全 一、介绍：post传参和get传参对注入方式没有本质上的影响，只不过前者是通过页面上的表单提交数据后者是通过url传参。而头部注入是因为后端并没有直接将参数插入查询语句，而是通过插入或取出cookie、referer等参数进行数据查询或更改的；所以通常使用抓包工具在抓到的数据包上更改相应的参数进行注入。二、示例：2.1、POST示例：#less-17username和password是两个传入点， PyTorch中文/英文官方文档&教程资源 三千の世界 PythonDataAnalysisComputerSciencepytorch PyTorch中文文档https://pytorch-cn.readthedocs.io/zh/latest/PyTorch英文文档https://pytorch.org/docs/stable/index.htmlPyTorch官方教程-PyTorch教程1.1.0文档https://pytorch.org/tutorials/ 从零开始：Django + MySQL + Vue 打造在线Demo下载平台 阮懿同 从零开始：Django+MySQL+Vue打造在线Demo下载平台【下载地址】DjangoMySQLVue从零开始打造在线Demo下载平台Django+MySQL+Vue从零开始打造在线Demo下载平台本仓库提供了一套完整的前后端实战项目源码，带你全面学习和掌握在Django后端框架和Vue前端框架下，如何协作开发并部署一个功能完备的在线Demo下载网站项目地址:https://gitcode.c Qt QGroupBox 组件总结 enyp80 qt开发语言 QtQGroupBox组件总结1.概述作用：QGroupBox是一个容器部件，用于将界面中相关的控件分组，提供逻辑上的视觉分离，通常带有标题（title）和边框。继承关系：继承自QWidget，具备所有QWidget的功能，同时支持分组布局和可选的复选框功能。2.核心特性标题（Title）：通过setTitle()设置分组框的标题，支持富文本（如HTML格式）。复选框（Checkable）：可设置 网络安全特性 网络安全King web安全安全 网络设备安全特性：手动关闭没有使用的功能和端口，可以提高安全性提高安全性进行登录ssh使用的stelent配置ssh用户的顺序：1.stelentseverenable2.需要创建用户User-ingterfacevty04Authentication-modeaaaProtocolinboundssh//打开ssh功能AaaLocal-user用户名password（simple/cipher） 【PYTORCH】官方的turoria实现中英文翻译 liwulin0506 pytorchpythonpytorch人工智能python 参考https://pytorch.org/tutorials/intermediate/seq2seq_translation_tutorial.html背景pytorch官方的是seq2seq是法语到英文，做了一个中文到英文的。数据集下载后解压，使用的data\testsets\devset\UNv1.0.devset.zh和UNv1.0.devset.en，因为电脑配置不行，所以只选取了10 网络安全组织架构表 网络安全技术架构 网络安全King web安全架构安全 web安全架构（上）开始之前这们说一下，web网站其实防御也相当重要，不管是服务器防御，后台数据防御，数据库防御都是必须滴，那我们说说常见的几种。后续再给大家分享api接口安全性设计，黑名单白名单，以及防御DDOS。XSS攻击，SQL注入，防盗链，csrf模拟请求，文件上传漏洞，忘记密码漏洞，Api接口幂等，其他问题等等，，，，，，一，什么是XSS?Xss就是javascript脚本攻击，就是在表 信息安全专业毕业设计题目汇总：网络安全 微光DeepLearning 毕设选题信息安全毕业设计算法 亲爱的同学们，转眼间我们已经迎来了大四，这一年充满了挑战与机遇。大家忙着备考研究生、公务员、教师资格证，或是寻找实习机会，同时还要面对毕业设计的重任。对于毕业设计，很多同学可能会感到陌生，不知道从何下手，也不确定自己适合哪些方向的课题。为此，我整理了一个毕业设计选题专栏，希望能为大家提供一些灵感和建议。无论你对毕业设计有任何疑问，欢迎随时来问我哦！对毕设有任何疑问都可以问学长哦!前言在计算机专业的 干货：DeepSeek+SpringAI实现流式对话！ 液态不合群 deepseek 前面一篇文章我们实现了《炸裂：SpringAI内置DeepSeek啦！》，但是大模型的响应速度通常是很慢的，为了避免用户用户能够耐心等待输出的结果，我们通常会使用流式输出一点点将结果输出给用户。那么问题来了，想要实现流式结果输出，后端和前端要如何配合？后端要使用什么技术实现流式输出呢？接下来本文给出具体的实现代码，先看最终实现效果：解决方案在SpringBoot中实现流式输出可以使用Sse（Ser 图片绘制到Canvas上并能缩放和平移 canvashtml 有时候我们需要预览图片，对图片进行缩放平移等操作，这时候发现用img标签就不好用了。这时候就可以用我这个帖子的代码实现你要的效果。格式支持：只要能在canvas上渲染的图片都能做缩放平移。如果想缩放后还能把图片下载到本地，请自己调用canvas的api即可。特性：小于canvas大小，则默认不缩放。大于canvas则以最长边为单位来缩放。效果如下：将下方代码新建一个html，在浏览器打开就能看到效 聚焦大模型！隐语技术团队研究成果被 ICASSP 与 ICLR 两大顶会收录 隐私开源模型 “隐语”是开源的可信隐私计算框架，内置MPC、TEE、同态等多种密态计算虚拟设备供灵活选择，提供丰富的联邦学习算法和差分隐私机制。开源项目：https://github.com/secretflowhttps://gitee.com/secretflow导语：2023年，「大模型」走到了聚光灯下，技术圈的“头部玩家”们纷纷入场，其潜能和价值正在被不断挖掘与释放。与此同时，大模型相关的隐私安全问题也 七个合法学习黑客技术的平台，让你从萌新成为大佬 黑客白帽子黑爷 学习php开发语言web安全网络 href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/kdoc_html_views-1a98987dfd.css"rel="stylesheet"/>href="https://csdnimg.cn/release/blogv2/dist/mdeditor/css/editerView/ck_htmledit_v 30岁了，零基础想转行网安从头开始现实吗？ 白帽黑客勇哥 人工智能网络web安全网络安全python 为什么30岁转行网安是现实的？1.网络安全需求不断增长网络安全这一行业在过去几年中增长非常迅速，原因是互联网发展带来了巨大的数据和信息泄露风险。几乎所有的行业，尤其是金融、电商、医疗、政府等领域，都在面临严峻的网络安全挑战。无论是大公司还是中小企业，都急需网络安全专家来防范黑客攻击、数据泄露以及其他各种网络威胁。这样的背景使得网络安全领域一直是个朝阳行业，需求巨大，人才紧缺。2.年龄不是问题在许多 Algorithm 香水浓 javaAlgorithm 冒泡排序 public static void sort(Integer[] param) { for (int i = param.length - 1; i > 0; i--) { for (int j = 0; j < i; j++) { int current = param[j]; int next = param[j + 1]; mongoDB 复杂查询表达式 开窍的石头 mongodb 1:count    Pg: db.user.find().count();    统计多少条数据 2:不等于$ne    Pg: db.user.find({_id:{$ne:3}},{name:1,sex:1,_id:0});    查询id不等于3的数据。 3：大于$gt $gte(大于等于) &n Jboss Java heap space异常解决方法, jboss OutOfMemoryError : PermGen space 0624chenhong jvmjboss 转自 http://blog.csdn.net/zou274/article/details/5552630 解决办法： window->preferences->java->installed jres->edit jre 把default vm arguments 的参数设为-Xms64m -Xmx512m ---------------- 文件上传 下载 解析 相对路径 不懂事的小屁孩 文件上传 有点坑吧，弄这么一个简单的东西弄了一天多，身边还有大神指导着，网上各种百度着。 下面总结一下遇到的问题： 文件上传，在页面上传的时候，不要想着去操作绝对路径，浏览器会对客户端的信息进行保护，避免用户信息收到攻击。 在上传图片，或者文件时，使用form表单来操作。 前台通过form表单传输一个流到后台，而不是ajax传递参数到后台，代码如下: <form action=& 怎么实现qq空间批量点赞 换个号韩国红果果 qq 纯粹为了好玩！！ 逻辑很简单 1 打开浏览器console；输入以下代码。 先上添加赞的代码 var tools={}; //添加所有赞 function init(){ document.body.scrollTop=10000; setTimeout(function(){document.body.scrollTop=0;},2000);//加 判断是否为中文 灵静志远 中文 方法一： public class Zhidao { public static void main(String args[]) { String s = "sdf灭礌 kjl d{';\fdsjlk是"; int n=0; for(int i=0; i<s.length(); i++) { n = (int)s.charAt(i); if(( 一个电话面试后总结 a-john 面试 今天，接了一个电话面试，对于还是初学者的我来说，紧张了半天。 面试的问题分了层次，对于一类问题，由简到难。自己觉得回答不好的地方作了一下总结：   在谈到集合类的时候，举几个常用的集合类，想都没想，直接说了list,map。   然后对list和map分别举几个类型：   list方面：ArrayList,LinkedList。在谈到他们的区别时，愣住了 MSSQL中Escape转义的使用 aijuans MSSQL IF OBJECT_ID('tempdb..#ABC') is not null drop table tempdb..#ABC create table #ABC ( PATHNAME NVARCHAR(50) ) insert into #ABC SELECT N'/ABCDEFGHI' UNION ALL SELECT N'/ABCDGAFGASASSDFA' UNION ALL 一个简单的存储过程 asialee mysql存储过程构造数据批量插入            今天要批量的生成一批测试数据，其中中间有部分数据是变化的，本来想写个程序来生成的，后来想到存储过程就可以搞定，所以随手写了一个，记录在此：            DELIMITER $$ DROP PROCEDURE IF EXISTS inse annot convert from HomeFragment_1 to Fragment 百合不是茶 android导包错误 创建了几个类继承Fragment, 需要将创建的类存储在ArrayList<Fragment>中; 出现不能将new 出来的对象放到队列中,原因很简单;     创建类时引入包是:import android.app.Fragment;      创建队列和对象时使用的包是:import android.support.v4.ap Weblogic10两种修改端口的方法 bijian1013 weblogic端口号配置管理config.xml 一.进入控制台进行修改    1.进入控制台:  http://127.0.0.1:7001/console     2.展开左边树菜单         域结构->环境->服务器-->点击AdminServer(管理) & mysql 操作指令 征客丶 mysql 一、连接mysql 进入 mysql 的安装目录； $ bin/mysql -p [host IP 如果是登录本地的mysql 可以不写 -p 直接 -u] -u [userName] -p 输入密码，回车，接连； 二、权限操作［如果你很了解mysql数据库后，你可以直接去修改系统表，然后用 mysql> flush privileges; 指令让权限生效］ 1、赋权 mys 【Hive一】Hive入门 bit1129 hive Hive安装与配置 Hive的运行需要依赖于Hadoop，因此需要首先安装Hadoop2.5.2，并且Hive的启动前需要首先启动Hadoop。   Hive安装和配置的步骤   1. 从如下地址下载Hive0.14.0   http://mirror.bit.edu.cn/apache/hive/    2.解压hive，在系统变 ajax 三种提交请求的方法 BlueSkator Ajaxjqery 1、ajax 提交请求 $.ajax({ type:"post", url : "${ctx}/front/Hotel/getAllHotelByAjax.do", dataType : "json", success : function(result) { try { for(v mongodb开发环境下的搭建入门 braveCS 运维   linux下安装mongodb 1）官网下载mongodb-linux-x86_64-rhel62-3.0.4.gz 2）linux 解压  gzip -d mongodb-linux-x86_64-rhel62-3.0.4.gz; mv mongodb-linux-x86_64-rhel62-3.0.4 mongodb-linux-x86_64-rhel62- 编程之美-最短摘要的生成 bylijinnan java数据结构算法编程之美 import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; public class ShortestAbstract { /** * 编程之美 最短摘要的生成 * 扫描过程始终保持一个[pBegin,pEnd]的range,初始化确保[pBegin,pEnd]的ran json数据解析及typeof chengxuyuancsdn jstypeofjson解析 // json格式 var people='{"authors": [{"firstName": "AAA","lastName": "BBB"},' +' {"firstName": "CCC& 流程系统设计的层次和目标 comsci 设计模式数据结构sql框架脚本                               流程系统设计的层次和目标   RMAN List和report 命令 daizj oraclelistreportrman LIST 命令 使用RMAN LIST 命令显示有关资料档案库中记录的备份集、代理副本和映像副本的 信息。使用此命令可列出： • RMAN 资料档案库中状态不是AVAILABLE 的备份和副本 • 可用的且可以用于还原操作的数据文件备份和副本 • 备份集和副本，其中包含指定数据文件列表或指定表空间的备份 • 包含指定名称或范围的所有归档日志备份的备份集和副本 • 由标记、完成时间、可 二叉树:红黑树 dieslrae 二叉树     红黑树是一种自平衡的二叉树,它的查找,插入,删除操作时间复杂度皆为O(logN),不会出现普通二叉搜索树在最差情况时时间复杂度会变为O(N)的问题.     红黑树必须遵循红黑规则,规则如下     1、每个节点不是红就是黑。     2、根总是黑的  & C语言homework3，7个小题目的代码 dcj3sjt126com c 1、打印100以内的所有奇数。 # include <stdio.h> int main(void) { int i; for (i=1; i<=100; i++) { if (i%2 != 0) printf("%d ", i); } return 0; }  2、从键盘上输入10个整数， 自定义按钮, 图片在上, 文字在下, 居中显示 dcj3sjt126com 自定义 #import <UIKit/UIKit.h> @interface MyButton : UIButton -(void)setFrame:(CGRect)frame ImageName:(NSString*)imageName Target:(id)target Action:(SEL)action Title:(NSString*)title Font:(CGFloa MySQL查询语句练习题，测试足够用了 flyvszhb sqlmysql http://blog.sina.com.cn/s/blog_767d65530101861c.html 1.创建student和score表 CREATE  TABLE  student ( id  INT(10)  NOT NULL  UNIQUE  PRIMARY KEY  , name  VARCHAR 转：MyBatis Generator 详解 happyqing mybatis   MyBatis Generator 详解 http://blog.csdn.net/isea533/article/details/42102297   MyBatis Generator详解 http://git.oschina.net/free/Mybatis_Utils/blob/master/MybatisGeneator/MybatisGeneator. 让程序员少走弯路的14个忠告 jingjing0907 工作计划学习   无论是谁，在刚进入某个领域之时，有再大的雄心壮志也敌不过眼前的迷茫：不知道应该怎么做，不知道应该做什么。下面是一名软件开发人员所学到的经验，希望能对大家有所帮助   1.不要害怕在工作中学习。 只要有电脑，就可以通过电子阅读器阅读报纸和大多数书籍。如果你只是做好自己的本职工作以及分配的任务，那是学不到很多东西的。如果你盲目地要求更多的工作，也是不可能提升自己的。放 nginx和NetScaler区别 流浪鱼 nginx NetScaler是一个完整的包含操作系统和应用交付功能的产品，Nginx并不包含操作系统，在处理连接方面，需要依赖于操作系统，所以在并发连接数方面和防DoS攻击方面，Nginx不具备优势。 2.易用性方面差别也比较大。Nginx对管理员的水平要求比较高，参数比较多，不确定性给运营带来隐患。在NetScaler常见的配置如健康检查，HA等，在Nginx上的配置的实现相对复杂。 3.策略灵活度方 第11章 动画效果（下） onestopweb 动画 index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/ FAQ - SAP BW BO roadmap blueoxygen BOBW http://www.sdn.sap.com/irj/boc/business-objects-for-sap-faq   Besides, I care that how to integrate tightly.   By the way, for BW consultants, please just focus on Query Designer which i 关于java堆内存溢出的几种情况 tomcat_oracle javajvmjdkthread 【情况一】： 　　 java.lang.OutOfMemoryError: Java heap space：这种是java堆内存不够，一个原因是真不够，另一个原因是程序中有死循环； 　　如果是java堆内存不够的话，可以通过调整JVM下面的配置来解决： 　　<jvm-arg>-Xms3062m</jvm-arg> 　　<jvm-arg>-Xmx Manifest.permission_group权限组 阿尔萨斯 Permission 结构 继承关系 public static final class Manifest.permission_group extends Object java.lang.Object android. Manifest.permission_group 常量 ACCOUNTS 直接通过统计管理器访问管理的统计 COST_MONEY可以用来让用户花钱但不需要通过与他们直接牵涉的权限 D 按字母分类： ABCDEFGHIJKLMNOPQRSTUVWXYZ其他 首页 - 关于我们 - 站内搜索 - Sitemap - 侵权投诉 版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.