安全新司机
安全新司机

[20][03][79] Server-Side Request Forgery

文章目录

  • 1. 问题描述
  • 2. 问题场景
    • 2.1 函数详解
      • 2.1.1 URL
      • 2.1.2 URLConnection
      • 2.1.3 HttpURLConnection
    • 2.2 可能存在漏洞的点
      • 2.2.1 HttpURLConnection
      • 2.2.2 URLConnection
        • 2.2.2.1 使用 file 协议
        • 2.2.2.2 使用 netdoc 协议
        • 2.2.2.3 使用 jar 协议
        • 2.2.2.4 jar+http
      • 2.2.3 ImageIO
      • 2.2.4 HttpClients
      • 2.2.5 OkHttpClient

1. 问题描述

SSRF(Server-Side Request Forgery): 服务端请求伪造, 是一个利用服务端探测内网服务资源的漏洞,用一个最简单的例子来理解这个漏洞:比如一个添加图文的功能,填入标题内容和封面图然后提交在网站前台显示,对于这个功能的图片它除了可以让你上传以外,还支持填入远程图片地址,如果你填入了远程的图片地址,则该网站会加载远程图过来进行显示,而如果程序写法不严谨或者过滤不严格,则加载图片地址的这个功能可能就可以包含进行一些恶意的脚本文件,或者你输入内网的 ip 或者一些系统的文件都会被解析执行

而一般我们是无法请求到系统上的文件的,内网的 ip 我们也是无法访问的,有了 SSRF 后,我们提交的加载连接是有服务器进行加载解析,实际上相当于我们以存在 SSRF 这个服务器为跳板进行的一些加载操作,我们在附一张图加深理解

[20][03][79] Server-Side Request Forgery_第1张图片

我们知道了 SSRF 的原理后,自然就能想到其危害点有哪些

  • 加载外部的恶意木马文件执行
  • 加载内部的敏感文件程序自身的敏感文件
  • 来访问内网进行内网端口的扫描、获取内网设备信息、枚举内网服务等

2. 问题场景

SSRF一般在一些请求url资源的时候会遇到,如?url=https://ip:prot/xxx.jpg请求别的站点的静态资源之类的

在 java中(高版本jdk)仅支持如下协议

  • file
  • ftp
  • mailto
  • http
  • https
  • jar
  • netdoc

2.1 函数详解

2.1.1 URL

// 构造方法, 生成一个 URL 对象
new URL(String url)

// 返回一个 URLConnection 实例, 表示与 URL 引用的远程对象的 URL
// 每次当调用此 URL 的协议处理程序的 URLStreamHandler.openConnection(URL) 方法时, 都会创建一个新的 URLConnection 实例
public URLConnection openConnection() throws IOException

应该注意的是,URLConnection 实例不会在创建时建立实际的网络连接, 这只会在调用 URLConnection.connect() 时发生

2.1.2 URLConnection

// 构造与指定 URL 的 URL 连接
protected  URLConnection(URL url)

2.1.3 HttpURLConnection

与URLConnection的区别

  • URLConnection 支持HTTP/邮件/文件传输协议
  • HttpURLConnection 只支持 HTTP 协议, 通过 http 协议去做一些探测内网ip存活/端口探测/打redis(有回显)

2.2 可能存在漏洞的点

  • HttpURLConnection.getInputStream
  • URLConnection.getInputStream
  • Request.Get.execute
  • Request.Post.execute
  • URL.openStream
  • ImageIO.read
  • OkHttpClient.newCall.execute
  • HttpClients.execute

2.2.1 HttpURLConnection

这个类只能用http协议

@GetMapping("httpUrlConnection")
public ResponseVO httpUrlConnection(@RequestParam("url") String url) {
    try {
        // 创建一个连接
        URLConnection urlConnection = new URL(url).openConnection();
        // 强转为 HttpURLConnection
        HttpURLConnection httpURLConnection = (HttpURLConnection) urlConnection;
        // 获取url中的资源
        BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(httpURLConnection.getInputStream(), StandardCharsets.UTF_8));

        StringBuilder stringBuilder = new StringBuilder();
        String data;
        while ((data = bufferedReader.readLine()) != null) {
            stringBuilder.append(data);
        }
        return ResponseVO.success(stringBuilder.toString());
    } catch (IOException e) {
        log.error(ERROR_MSG, url, e);
        return ResponseVO.fail(ResponseCodeEnum.FAIL, ERROR_RESPONSE_MSG);
    }
}

请求地址

GET hhtp://127.0.0.1:8080/ssrf/httpUrlConnection?url=http://ssrf.xxxx.ceye.io

xx

2.2.2 URLConnection

@GetMapping("urlConnection")
public ResponseVO urlConnection(@RequestParam("url") String url, HttpServletResponse response) {
    URLConnection urlConnection = null;
    try {
        urlConnection = new URL(url).openConnection();
    } catch (IOException e) {
        log.error(ERROR_MSG, url, e);
        return ResponseVO.fail(ResponseCodeEnum.FAIL, ERROR_RESPONSE_MSG);
    }

    try (BufferedReader bufferedReader = new BufferedReader(
            new InputStreamReader(urlConnection.getInputStream(), StandardCharsets.UTF_8))) {

        StringBuilder stringBuilder = new StringBuilder();
        String data;
        while ((data = bufferedReader.readLine()) != null) {
            stringBuilder.append(data);
        }
        return ResponseVO.success(stringBuilder.toString());
    } catch (IOException e) {
        log.error(ERROR_MSG, url, e);
        return ResponseVO.fail(ResponseCodeEnum.FAIL, ERROR_RESPONSE_MSG);
    }
}
2.2.2.1 使用 file 协议
GET http://127.0.0.1:8080/ssrf/urlConnection?url=file:///D:\code\idea_workspace\toalibaba\security-study\fortify\src\main\resources\mapper\UserMapper.xml

[20][03][79] Server-Side Request Forgery_第2张图片

2.2.2.2 使用 netdoc 协议
GET http://127.0.0.1:8080/ssrf/urlConnection?url=netdoc:///D:\code\idea_workspace\toalibaba\security-study\fortify\src\main\resources\mapper\UserMapper.xml

[20][03][79] Server-Side Request Forgery_第3张图片

2.2.2.3 使用 jar 协议

jar 协议语法,jar:{url}!/{entry},url是文件的路径,entry是想要解压出来的文件
当然这里url不仅仅是http协议,也可以是file协议或者netdoc

jar协议处理文件过程

  • 下载 jar/zip 文件到临时文件中
  • 提取出我们指定的文件
  • 删除临时文件
2.2.2.4 jar+http
http://127.0.0.1:8080/ssrf/urlConnection?url=jar:http://127.0.0.1:4444/sql.txt.zip!/sql.txt

2.2.3 ImageIO

2.2.4 HttpClients

2.2.5 OkHttpClient

你可能感兴趣的:(信息安全,Fortify,信息安全,SSRF,服务端请求伪造)

  • websocket和https的区别 一路向北he websockethttps网络协议
    1.WebSocket是双向通信特点:全双工(Full-Duplex):客户端和服务器可以同时主动发送消息,无需等待请求-响应周期。长连接:建立连接后保持开放,适合实时交互(如聊天、游戏)。类比:类似电话通话,双方随时可以说话。2.HTTPS是“半双工”通信(基于请求-响应)特点:客户端发起请求,服务器返回响应:每次通信需要明确的请求触发(如浏览器加载网页)。短连接(默认):HTTP/1.1后支持
  • 精彩纷呈宋王朝(第四部,第十二章,第五节) 司马吹风
    第十二章力挽狂澜孟将军第五节复襄阳公元1238年九月,蒙古八十万主力攻两淮,荆襄地区的兵力相对薄弱一些。新任京湖战区总司令置制使孟珙,请求乘机率军收复荆襄。十月,朝廷诏命孟珙收复襄阳,襄阳是南宋中部重镇,襄阳在敌人手里,南宋寝食难安呐。孟珙接受的任务是收复襄阳,对一般战将来说,可能就是按部就班地率军攻襄阳了。假如孟珙也如此僵硬,也就成不了名将了。他经过仔细分析认为,如欲收复襄阳、樊城(襄阳樊城区)
  • 微信小程序 wx.request() 的封装 xkxnq 微信小程序微信小程序
    基于微信小程序的wx.request()方法封装下面是一个封装方案,满足您提出的所有要求:classHttpService{constructor(){this.baseUrl='';//基础URLthis.pendingRequests=newMap();//请求缓存池this.interceptors={request:[],response:[]};}//设置基础URLsetBaseUrl(
  • python 基于 httpx 的流式请求
    文章目录1.环境介绍2.同步客户端2.1.面向过程2.1.1.流式输出2.1.2.非流式输出2.2.面向对象3.异步客户端3.1.面向过程3.2.面向对象3.3.Attemptedtocallasynciteratoronanasyncstream.参考:https://www.jb51.net/article/262636.htm次要参考:https://blog.csdn.net/gitblo
  • 骗局揭露:光远投研会马光远,环境排放3.0被骗不靠谱!不可信!真相震惊! 易星辰分享普法
    关于曝光网上光远投研会马光远在炒股群推荐智慧农业中粮仓平台骗局的文章,其内容主要揭示了近期频发的一种投资诈骗手段。以下是该骗局的主要特点和步骤:为什么明明跟老师对过视频,确认是本人,怎么还会被骗了?你有没有想过一个名人大咖怎么会有时间给你们一对一视频,其次我来给大家揭露一下,这个套路AI换脸骗局是一种利用人工智能技术,通过替换视频中的人脸来伪造身份或进行诈骗的行为。你的账户“余额”是真的吗?为什么
  • 雅思G类作文
    目录(一)建议信(二)申请信(三)投诉信(四)问询信(五)推荐信(六)请求信(七)感谢信(八)邀请信(九)谢绝信(十)日常信雅思A类作文主要针对申请留学的考生,G类作文主要面向计划移民或参加工作培训的考生。G类考生只占5%,找到的资料也不多,文末会分享一篇资料,其中有更多题目可供练习。(一)建议信题目:Ahotelyoustayedinrecentlyaskedgueststowritetothe
  • 【gateway网关】 叫我李老板 gateway学习php
    网关的核心功能网关(Gateway)作为网络架构中的关键组件,主要承担不同协议或网络之间的数据转换与路由功能。以下是其核心功能的详细说明:协议转换与适配网关能够连接使用不同通信协议的网络或系统,实现数据格式的转换。例如将HTTP请求转换为gRPC协议,或处理SOAP与RESTfulAPI之间的互操作。这种能力在混合云环境或遗留系统集成中尤为重要。流量路由与负载均衡基于请求内容(如URL路径、HTT
  • Rust 开发环境搭建与插件 pumpkin84514 rustrust开发语言后端
    生成完整文章用户请求写一篇完整的CSDN文章,要求根据之前的建议生成。文章要包含结构清晰、标题、代码示例、常见提示、跨平台Rust工具链安装差异等内容。文章需准确,包括插件和使用提示,CLI程序示例等。主要内容包括:介绍、Rust工具链安装(Windows/macOS/Linux差异)、VSCode安装与扩展列表、扩展细节与使用、开发者常见提示(如rust-analyzer功能、crate使用等)
  • node.js 为什么要装 express组件 思静鱼 node.jsnode.jsexpress
    在Node.js中安装Express组件(框架)主要是为了解决以下核心问题:1.原生Node.js开发HTTP服务的痛点原生http模块虽然能创建服务器,但需要手动处理大量底层细节:consthttp=require('http');constserver=http.createServer((req,res)=>{//需要手动解析URL、HTTP方法、请求头等if(req.url==='/'&&
  • Axios泛型参数解析与使用指南 编程随想▿ TypeScriptTSaxios前端web开发语言
    目录一、Axios泛型参数的核心价值二、基本用法解析1.响应数据泛型参数2.POST请求中的泛型应用三、高级泛型参数配置1.自定义响应结构2.完整AxiosResponse泛型3.错误处理泛型四、实战应用示例1.封装带泛型的API客户端2.带分页的泛型响应处理五、最佳实践与注意事项六、总结一、Axios泛型参数的核心价值Axios的泛型参数允许我们为HTTP响应数据指定类型,使TypeScript
  • 移动网络http请求不到数据,wifi下可以 添码星空 Android开发HTTP网络连接
    今天客户反馈手机登录不上去,用wifi可以,但是切换到移动网络就不行。查找相关文档发现由于AndroidP(版本27以上)限制了明文流量的网络请求,非加密的流量请求都会被系统禁止掉。所以如果当前应用的请求是htttp请求,而非https,这样就会导系统禁止当前应用进行该请求。请看下面的官方说法:Android致力于保护用户们的设备和数据安全。我们保证数据安全的方法之一是保护所有进入或离开Andro
  • Redis缓存四件套的学习(七) 冷崖 Redisredis缓存
    一、缓存四件套1.1、缓存预热1.1.1、什么是缓存预热缓存预热就是在系统启动前,将数据提前加载到缓存中,这样就可以避免在用户请求的时候,先查询数据库,然后再将数据回写到缓存中1.1.2、如何实现缓存预热什么都不做,只对数据库操作,利用redis回写机制,逐步将数据库的数据同步到缓存中。-------最好晚上部署完成之后,自己人提前做一次,让数据写回缓存,别把这个问题交给用户。通过中间件或程序自行
  • IO多路复用 04aaaze 服务器运维
    一.构建tcp并发服务器单循环服务器:服务器同一时刻只能响应一个客户端的请求并发服务器:服务器在同一时刻可以响应多个客户端的请求构建TCP并发服务器:让TCP服务端具备同时响应多个客户端的能力。1.多进程资源消耗大,同资源平台下,并发量小。2.多线程创建线程、进程,比较耗时3.线程池提前预创建大量线程,避免任务执行过程中创建线程的耗时4.IO多路复用在不创建新的进程和线程的前提下,可以在一个进程中
  • 车载电子电器架构 --- MCU信息安全相关措施 汽车电子实验室 电子电器架构——刷写方案车载电子电气架构单片机网络架构安全电气电子架构开发的应对策略ECU刷写与busoff原则电子电气架构
    我是穿拖鞋的汉子,魔都中坚持长期主义的汽车电子工程师。老规矩,分享一段喜欢的文字,避免自己成为高知识低文化的工程师:周末洗了一个澡,换了一身衣服,出了门却不知道去哪儿,不知道去找谁,漫无目的走着,大概这就是成年人最深的孤独吧!旧人不知我近况,新人不知我过往,近况不该旧人知,过往不与新人讲。纵你阅人何其多,再无一人恰似我。时间不知不觉中,来到新的一年。2025开始新的忙碌。成年人的我也不知道去哪里渡
  • B/S架构系统角色与对应协议详解 步行cgn JavaWeb架构
    B/S架构系统角色与对应协议详解一、核心角色及协议映射系统角色主要职责关键协议协议作用说明浏览器用户交互界面HTTP/HTTPS应用层通信基础(Browser)发送请求/渲染响应WebSocket全双工实时通信执行前端逻辑WebRTC点对点音视频传输DNS域名解析--------------------------------------------------------------------
  • Servlet 对象的生命周期
    Servlet对象的生命周期Servlet的生命周期由Web容器(如Tomcat)管理,分为以下三个阶段:️1.初始化阶段(init())触发时机:当容器第一次收到针对该Servlet的请求时,或容器启动时(若配置了)。执行方法:调用init(ServletConfigconfig)方法。特点:仅执行一次,用于加载资源(如数据库连接、配置文件)。ServletConfig对象提供初始化参数(在we
  • 支付宝支付 屿筱 鸿蒙HarmonyOS5
    当前我们有现成的支付宝H5端支付能力,所以需要我们采用混合开发的模式进行操作,所谓混合开发就是鸿蒙原生内嵌一个支付宝的h5页面,经过互相通信实现整个支付流程使用Web组件通过src发起支付宝接口请求(携带订单id参数)监听Web组件的网络请求变化,如果发现/pay/redirect关键标识,证明支付已经完成解析回调参数(如果payResult参数为true,即为成功)import{promptAc
  • python flask restful_Flask应用示例1 - 通过Flask实现Restful服务 weixin_39548787 pythonflaskrestful
    1,前言Python的强大,已经涉及到软件开发领域的方方面面。然而,Python入门容易,精确很难,需要深入研究。在Web方面同样如此,常用的PythonWeb框架,例如Django、Flask、Tornado等等,共计有100多种,各有优劣。本文以Flask为例,介绍Flask的Restful实现方式,主要实现对数据表的增删查改操作。2,需求在开发代码之前,需要提前明确URL请求、HTTP方法与
  • 骗子太猖獗了,打着摩根士丹利何晓斌名义带股民进入虚假宝丰能源节能减排碳交易市场,大量股民被骗真相曝光 墨守成法
    为什么明明跟老师对过视频,确认是本人,怎么还会被骗了?你有没有想过一个名人大咖怎么会有时间给你们一对一视频,其次我来给大家揭露一下,这个套路AI换脸骗局是一种利用人工智能技术,通过替换视频中的人脸来伪造身份或进行诈骗的行为。你的账户“余额”是真的吗?为什么不能提现呢?其实都是骗子给你的一串数字而已!这些新平台打着“低风险”、“高收益”、“慈善公益投票”等噱头先让投资人尝到甜头再通过恶意操作将投资人
  • layui+express CMS管理系统 May# layuiexpresshtml
    该项目主要技术:html,css,js,echart,express,mysql,jquery,layui,swiper展示类网站,属于服务端渲染项目。该网站包含管理端,实现基本增删改查功能。用户端可查看页面,属于展示类网站。管理端页面如下:<
  • Linux:线程同步之信号量 还下着雨ZG Linux杂谈linux
    信号量(1)What(什么是信号量)提供一种计数器的方式控制对共享资源的访问;当计数器大于0时,请求资源成功并计数器-1;当计数器小于0时,线程阻塞,等待其它线程执行signal(V操作)唤醒它(2)Why(信号量的作用)实现线程的同步与互斥:通过信号量的设计,可以实现对共享资源的串行访问实现线程的等待与通知机制:当信号量小于0时,当前线程将被阻塞;当信号量大于0时,会唤醒一个阻塞在信号量上的线程
  • 常用的Modbus、Profibus、EtherCAT和OPC UA协议介绍 qq_25467441 网络
    常用的Modbus、Profibus、EtherCAT和OPCUA协议介绍_opc协议和modbus协议-CSDN博客1、Modbus协议协议概述:Modbus是一个串行通信协议,用于连接工业设备。它是一种请求/响应协议,使用客户端/服务器模型。主要分Modbus-RTU、Modbus-ASCII、Modbus-TCP。传输方式:可以通过RTU(远程终端单元)或ASCII(美国标准信息交换码)方式
  • 如何使用爬虫简单的爬取一个网页的静态前端代码
    什么是爬虫?Python爬虫是一种使用Python语言编写的程序,用于自动访问网页并提取所需信息。它通常用于网络数据抓取、数据挖掘和信息收集。Python爬虫可以模拟浏览器行为,向服务器发送请求并接收响应数据,然后解析这些数据以获取有用的信息。爬虫的基本原理(流程)发送请求:爬虫向目标网站的服务器发送HTTP请求(通常是GET请求)。获取响应:服务器返回网页的HTML内容。解析内容:爬虫解析HTM
  • B/S 架构通信原理详解 步行cgn JavaWeb架构
    B/S架构通信原理详解一、核心架构Browser/Server(浏览器/服务器)模型:前端:浏览器作为统一客户端(Chrome/Firefox/Edge等)后端:服务器处理业务逻辑+数据存储(Nginx/Apache/Tomcat等)通信协议:基于HTTP/HTTPS的请求-响应模型二、完整通信流程sequenceDiagramparticipant用户participant浏览器particip
  • 筑牢网络安全防线:DDoS/CC 攻击全链路防护技术解析 上海云盾-高防顾问 web安全ddos安全
    在数字化时代,DDoS(分布式拒绝服务攻击)和CC(ChallengeCollapsar)攻击已成为威胁网络服务稳定性的“头号杀手”。DDoS通过海量流量淹没目标服务器,CC则通过模拟合法请求耗尽应用资源。本文将深入解析这两种攻击的防护技术,构建从网络层到应用层的全链路防御体系。一、DDoS/CC攻击原理与威胁1.DDoS攻击:流量洪泛的“数字洪水”原理:利用僵尸网络向目标发送大量数据包(如UDP
  • nextjs学习笔记 ainuo5213 web前端框架学习nextreactreact服务端渲染next入门
      由于本人最近在学习jocky老师的React16.8+Next.js+Koa2开发Github全栈项目关于react的服务端重构项目,然后跟着老师的视频做笔记,记录下自己的所学知识。目录结构pages(必需):pages目录是nextjs中最终要的一个目录,这个目录的每一个文件都会对应到每一个页面,可以根据地址栏的路由进行跳转。若pages下的js文件在一个目录下,那么nextjs默认会将这个
  • LVS----DR模式配置 KellenKellenHao 服务器运维lvsDR模式
    LVS-DR模式配置通过负载均衡器配置:将负载均衡器的IP地址设置为Web节点的虚拟IP(VIP)地址。这样,客户端的请求将发送到负载均衡器的VIP地址。客户端请求到达负载均衡器:当客户端发送请求到负载均衡器的VIP地址时,负载均衡器会接收到请求。负载均衡器将请求转发到后端Web节点:负载均衡器将请求转发到其中一个后端Web节点。它通过修改目标IP地址为相应的Web节点的IP地址,并修改源IP地址
  • Laravel 原子锁概念讲解
    引言什么是竞争条件(RaceCondition)?在并发编程中,当多个进程或线程同时访问和修改同一个共享资源时,最终结果会因其执行时序的微小差异而变得不可预测,甚至产生错误。这种情况被称为“竞争条件”。例子1:定时执行某个耗时的任务,如果第一个任务执行时还没有更新数据源,第二个任务就开始了,那么同一个数据源可能被更新或新增两次数据,最终导致数据源错误。例子2:商品秒杀场景:若库存仅剩1件,两个请求
  • 【Nacos无压力源码领读】(二) 集成 LoadBalancer 与 OpenFeign Dexu7 SpringCloud负载均衡ribbon
    上一篇文章中,详细介绍了Nacos注册中心的原理,相信看完后,大家应该完全掌握了Nacos客户端是如何自动进行服务注册的,以及Nacos客户端是如何订阅服务实例信息的,以及Nacos服务器是如何处理客户端的注册和订阅请求的;本文承上启下,在订阅服务实例的基础上,介绍如何在实例之间进行选择,实现负载均衡;并详细介绍了负载均衡组件LocaBanlancer和函数式调用组件OpenFeign是如何与Na
  • idea中同服务启动多个 cherishSpring #ideaSpringCloud#javalinux运维服务器
    1、copyconfiguration2、setvmoptions#服务端口-Dserver.port=8082#nacos注册集群-Dspring.cloud.nacos.discovery.cluster-name=SH3、启动服务
  • iOS http封装 374016526 ios服务器交互http网络请求
    程序开发避免不了与服务器的交互,这里打包了一个自己写的http交互库。希望可以帮到大家。   内置一个basehttp,当我们创建自己的service可以继承实现。   KuroAppBaseHttp *baseHttp = [[KuroAppBaseHttp alloc] init]; [baseHttp setDelegate:self]; [baseHttp
  • lolcat :一个在 Linux 终端中输出彩虹特效的命令行工具 brotherlamp linuxlinux教程linux视频linux自学linux资料
      那些相信 Linux 命令行是单调无聊且没有任何乐趣的人们,你们错了,这里有一些有关 Linux 的文章,它们展示着 Linux 是如何的有趣和“淘气” 。 在本文中,我将讨论一个名为“lolcat”的小工具 – 它可以在终端中生成彩虹般的颜色。 何为 lolcat ? Lolcat 是一个针对 Linux,BSD 和 OSX 平台的工具,它类似于 cat 命令,并为 cat
  • MongoDB索引管理(1)——[九] eksliang mongodbMongoDB管理索引
    转载请出自出处:http://eksliang.iteye.com/blog/2178427 一、概述       数据库的索引与书籍的索引类似,有了索引就不需要翻转整本书。数据库的索引跟这个原理一样,首先在索引中找,在索引中找到条目以后,就可以直接跳转到目标文档的位置,从而使查询速度提高几个数据量级。       不使用索引的查询称
  • Informatica参数及变量 18289753290 Informatica参数变量
    下面是本人通俗的理解,如有不对之处,希望指正 info参数的设置:在info中用到的参数都在server的专门的配置文件中(最好以parma)结尾 下面的GLOBAl就是全局的,$开头的是系统级变量,$$开头的变量是自定义变量。如果是在session中或者mapping中用到的变量就是局部变量,那就把global换成对应的session或者mapping名字。 [GLOBAL] $Par
  • python 解析unicode字符串为utf8编码字符串 酷的飞上天空 unicode
    php返回的json字符串如果包含中文,则会被转换成\uxx格式的unicode编码字符串返回。 在浏览器中能正常识别这种编码,但是后台程序却不能识别,直接输出显示的是\uxx的字符,并未进行转码。   转换方式如下   >>> import json >>> q = '{"text":"\u4
  • Hibernate的总结 永夜-极光 Hibernate
    1.hibernate的作用,简化对数据库的编码,使开发人员不必再与复杂的sql语句打交道   做项目大部分都需要用JAVA来链接数据库,比如你要做一个会员注册的 页面,那么 获取到用户填写的 基本信后,你要把这些基本信息存入数据库对应的表中,不用hibernate还有mybatis之类的框架,都不用的话就得用JDBC,也就是JAVA自己的,用这个东西你要写很多的代码,比如保存注册信
  • SyntaxError: Non-UTF-8 code starting with '\xc4' 随便小屋 python
    刚开始看一下Python语言,传说听强大的,但我感觉还是没Java强吧! 写Hello World的时候就遇到一个问题,在Eclipse中写的,代码如下 ''' Created on 2014年10月27日 @author: Logic ''' print("Hello World!");  运行结果 SyntaxError: Non-UTF-8
  • 学会敬酒礼仪 不做酒席菜鸟 aijuans 菜鸟
    俗话说,酒是越喝越厚,但在酒桌上也有很多学问讲究,以下总结了一些酒桌上的你不得不注意的小细节。 细节一:领导相互喝完才轮到自己敬酒。敬酒一定要站起来,双手举杯。 细节二:可以多人敬一人,决不可一人敬多人,除非你是领导。 细节三:自己敬别人,如果不碰杯,自己喝多少可视乎情况而定,比如对方酒量,对方喝酒态度,切不可比对方喝得少,要知道是自己敬人。 细节四:自己敬别人,如果碰杯,一
  • 《创新者的基因》读书笔记 aoyouzi 读书笔记《创新者的基因》
    创新者的基因   创新者的“基因”,即最具创意的企业家具备的五种“发现技能”:联想,观察,实验,发问,建立人脉。   第一部分破坏性创新,从你开始 第一章破坏性创新者的基因 如何获得启示: 发现以下的因素起到了催化剂的作用:(1) -个挑战现状的问题;(2)对某项技术、某个公司或顾客的观察;(3) -次尝试新鲜事物的经验或实验;(4)与某人进行了一次交谈,为他点醒
  • 表单验证技术 百合不是茶 JavaScriptDOM对象String对象事件
    js最主要的功能就是验证表单,下面是我对表单验证的一些理解,贴出来与大家交流交流  ,数显我们要知道表单验证需要的技术点, String对象,事件,函数   一:String对象;通常是对字符串的操作;   1,String的属性;   字符串.length;表示该字符串的长度; var str= "java"
  • web.xml配置详解之context-param bijian1013 javaservletweb.xmlcontext-param
    一.格式定义: <context-param> <param-name>contextConfigLocation</param-name> <param-value>contextConfigLocationValue></param-value> </context-param> 作用:该元
  • Web系统常见编码漏洞(开发工程师知晓) Bill_chen sqlPHPWebfckeditor脚本
    1.头号大敌:SQL Injection 原因:程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果, 获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 本质: 对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。 示例: String query = "SELECT id FROM users
  • 【MongoDB学习笔记六】MongoDB修改器 bit1129 mongodb
    本文首先介绍下MongoDB的基本的增删改查操作,然后,详细介绍MongoDB提供的修改器,以完成各种各样的文档更新操作  MongoDB的主要操作 show dbs 显示当前用户能看到哪些数据库 use foobar 将数据库切换到foobar show collections 显示当前数据库有哪些集合 db.people.update,update不带参数,可
  • 提高职业素养,做好人生规划 白糖_ 人生
      培训讲师是成都著名的企业培训讲师,他在讲课中提出的一些观点很新颖,在此我收录了一些分享一下。注:讲师的观点不代表本人的观点,这些东西大家自己揣摩。   1、什么是职业规划:职业规划并不完全代表你到什么阶段要当什么官要拿多少钱,这些都只是梦想。职业规划是清楚的认识自己现在缺什么,这个阶段该学习什么,下个阶段缺什么,又应该怎么去规划学习,这样才算是规划。  
  • 国外的网站你都到哪边看? bozch 技术网站国外
    学习软件开发技术,如果没有什么英文基础,最好还是看国内的一些技术网站,例如:开源OSchina,csdn,iteye,51cto等等。 个人感觉如果英语基础能力不错的话,可以浏览国外的网站来进行软件技术基础的学习,例如java开发中常用的到的网站有apache.org 里面有apache的很多Projects,springframework.org是spring相关的项目网站,还有几个感觉不错的
  • 编程之美-光影切割问题 bylijinnan 编程之美
    package a; public class DisorderCount { /**《编程之美》“光影切割问题” * 主要是两个问题: * 1.数学公式(设定没有三条以上的直线交于同一点): * 两条直线最多一个交点,将平面分成了4个区域; * 三条直线最多三个交点,将平面分成了7个区域; * 可以推出:N条直线 M个交点,区域数为N+M+1。
  • 关于Web跨站执行脚本概念 chenbowen00 Web安全跨站执行脚本
    跨站脚本攻击(XSS)是web应用程序中最危险和最常见的安全漏洞之一。安全研究人员发现这个漏洞在最受欢迎的网站,包括谷歌、Facebook、亚马逊、PayPal,和许多其他网站。如果你看看bug赏金计划,大多数报告的问题属于 XSS。为了防止跨站脚本攻击,浏览器也有自己的过滤器,但安全研究人员总是想方设法绕过这些过滤器。这个漏洞是通常用于执行cookie窃取、恶意软件传播,会话劫持,恶意重定向。在
  • [开源项目与投资]投资开源项目之前需要统计该项目已有的用户数 comsci 开源项目
            现在国内和国外,特别是美国那边,突然出现很多开源项目,但是这些项目的用户有多少,有多少忠诚的粉丝,对于投资者来讲,完全是一个未知数,那么要投资开源项目,我们投资者必须准确无误的知道该项目的全部情况,包括项目发起人的情况,项目的维持时间..项目的技术水平,项目的参与者的势力,项目投入产出的效益.....
  • oracle alert log file(告警日志文件) daizj oracle告警日志文件alert log file
    The alert log is a chronological log of messages and errors, and includes the following items: All internal errors (ORA-00600), block corruption errors (ORA-01578), and deadlock errors (ORA-00060)
  • 关于 CAS SSO 文章声明 denger SSO
    由于几年前写了几篇 CAS 系列的文章,之后陆续有人参照文章去实现,可都遇到了各种问题,同时经常或多或少的收到不少人的求助。现在这时特此说明几点: 1.  那些文章发表于好几年前了,CAS 已经更新几个很多版本了,由于近年已经没有做该领域方面的事情,所有文章也没有持续更新。 2. 文章只是提供思路,尽管 CAS 版本已经发生变化,但原理和流程仍然一致。最重要的是明白原理,然后
  • 初二上学期难记单词 dcj3sjt126com englishword
    lesson 课 traffic 交通 matter 要紧;事物 happy 快乐的,幸福的 second 第二的 idea 主意;想法;意见 mean 意味着 important 重要的,重大的 never 从来,决不 afraid 害怕 的 fifth 第五的 hometown 故乡,家乡 discuss 讨论;议论 east 东方的 agree 同意;赞成 bo
  • uicollectionview 纯代码布局, 添加头部视图 dcj3sjt126com Collection
    #import <UIKit/UIKit.h> @interface myHeadView : UICollectionReusableView { UILabel *TitleLable; } -(void)setTextTitle; @end #import "myHeadView.h" @implementation m
  • N 位随机数字串的 JAVA 生成实现 FX夜归人 javaMath随机数Random
    /** * 功能描述 随机数工具类<br /> * @author FengXueYeGuiRen * 创建时间 2014-7-25<br /> */ public class RandomUtil { // 随机数生成器 private static java.util.Random random = new java.util.R
  • Ehcache(09)——缓存Web页面 234390216 ehcache页面缓存
    页面缓存 目录 1       SimplePageCachingFilter 1.1      calculateKey 1.2      可配置的初始化参数 1.2.1     cach
  • spring中少用的注解@primary解析 jackyrong primary
    这次看下spring中少见的注解@primary注解,例子 @Component public class MetalSinger implements Singer{ @Override public String sing(String lyrics) { return "I am singing with DIO voice
  • Java几款性能分析工具的对比 lbwahoo java
    Java几款性能分析工具的对比 摘自:http://my.oschina.net/liux/blog/51800   在给客户的应用程序维护的过程中,我注意到在高负载下的一些性能问题。理论上,增加对应用程序的负载会使性能等比率的下降。然而,我认为性能下降的比率远远高于负载的增加。我也发现,性能可以通过改变应用程序的逻辑来提升,甚至达到极限。为了更详细的了解这一点,我们需要做一些性能
  • JVM参数配置大全 nickys jvm应用服务器
    JVM参数配置大全 /usr/local/jdk/bin/java -Dresin.home=/usr/local/resin -server -Xms1800M -Xmx1800M -Xmn300M -Xss512K -XX:PermSize=300M -XX:MaxPermSize=300M -XX:SurvivorRatio=8 -XX:MaxTenuringThreshold=5 -
  • 搭建 CentOS 6 服务器(14) - squid、Varnish rensanning varnish
    (一)squid 安装 # yum install httpd-tools -y # htpasswd -c -b /etc/squid/passwords squiduser 123456 # yum install squid -y 设置 # cp /etc/squid/squid.conf /etc/squid/squid.conf.bak # vi /etc/
  • Spring缓存注解@Cache使用 tom_seed spring
    参考资料 http://www.ibm.com/developerworks/cn/opensource/os-cn-spring-cache/ http://swiftlet.net/archives/774   缓存注解有以下三个: @Cacheable      @CacheEvict     @CachePut
  • dom4j解析XML时出现"java.lang.noclassdeffounderror: org/jaxen/jaxenexception"错误 xp9802
    java.lang.NoClassDefFoundError: org/jaxen/JaxenExc 关键字: java.lang.noclassdeffounderror: org/jaxen/jaxenexception 使用dom4j解析XML时,要快速获取某个节点的数据,使用XPath是个不错的方法,dom4j的快速手册里也建议使用这种方式 执行时却抛出以下异常: Exceptio
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他