前端如何安全的渲染HTML字符串

在现代的Web 应用中，动态生成和渲染 HTML 字符串是很常见的需求。然而，不正确地渲染HTML字符串可能会导致安全漏洞，例如跨站脚本攻击（XSS）。为了确保应用的安全性，我们需要采取一些措施来在安全的环境下渲染HTML字符串。本文将介绍一些安全渲染 HTML 字符串的最佳实践，以帮助你有效地避免潜在的安全风险。

目录

• 常见渲染方式

  • HTML

  • React

  • Vue

  • Angular

• HTML Sanitizer API

  • 是什么？

  • 怎么用？

  • 自定义

  • 浏览器支持

• 第三方库

  • DOMPurify

  • js-xss

  • sanitize-html

常见渲染方式

首先来看一下如何在 HTML、React、Vue、Angular 中渲染HTML字符串。

HTML

在HTML中渲染HTML字符串，可以使用原生JavaScript的innerHTML属性或者创建元素节点并使用appendChild()方法来实现。

1.使用innerHTML属性：可以通过获取要渲染HTML的目标元素，并将HTML字符串赋值给其innerHTML属性来渲染HTML字符串。例如：

这将在

内部渲染出

Hello, World!

。

2.创建元素节点和appendChild()方法：可以使用document.createElement()方法创建元素节点，并使用appendChild()方法将该节点添加到父元素中。例如：

这将在

内部渲染出

Hello, World!

。

React

可以通过使用dangerouslySetInnerHTML属性在 React 中渲染HTML字符串。但是，正如这个属性的名字所言，它存在安全风险，HTML 不会被转义，可能会导致XSS问题，因此请慎重使用。

import React from 'react';

const MyComponent = () => {
const htmlString = '
Hello, React!
';

return (

);
}

export default MyComponent;

这里将要渲染的HTML字符串存储在htmlString变量中，并将其传递给dangerouslySetInnerHTML属性的__html属性。React会将该字符串作为HTML内容插入到被渲染的组件中。

Vue

可以使用v-html指令在Vue中渲染HTML字符串。与在React中使用dangerouslySetInnerHTML类似，使用v-html时需要格外小心。

这里将要渲染的HTML字符串存储在htmlString中，并通过v-html指令将其绑定到需要渲染的元素上（这里是

）。Vue会将htmlString中的字符串解析为HTML，并将其插入到被渲染的元素中。

Angular

可以使用[innerHTML]属性在Angular中渲染 HTML 字符串。

这里将要渲染的HTML字符串存储在名为htmlString的变量中，并将其绑定到[innerHTML]属性上。Angular会将htmlString中的字符串解析为HTML，并将其插入到相应的DOM节点中。

与其他框架相似，使用[innerHTML]属性绑定时要特别小心。确保渲染的HTML字符串是可靠和安全的，避免直接从用户输入或不受信任的来源获取HTML字符串，以防止XSS攻击等安全问题。

另外，Angular也提供了一些内置的安全机制来帮助保护应用免受安全威胁。例如，通过使用Angular的内置管道（如DomSanitizer）对HTML字符串进行转义和验证，可以提高应用的安全性。

import { Component } from '@angular/core';
import { DomSanitizer, SafeHtml } from '@angular/platform-browser';

@Component({
selector: 'app-example',
template: `

`,
})
export class ExampleComponent {
htmlString: string = '
Hello, Angular!
';

constructor(private sanitizer: DomSanitizer) {}

getSafeHtml(): SafeHtml {
return this.sanitizer.bypassSecurityTrustHtml(this.htmlString);
 }
}

这里首先导入DomSanitizer和SafeHtml，这是Angular的内置服务和类型。然后，在组件中使用DomSanitizer通过调用bypassSecurityTrustHtml()方法对HTML字符串进行转义和验证。最后，将返回的SafeHtml对象绑定到[innerHTML]属性上，以进行安全的HTML渲染。

通过使用DomSanitizer服务，Angular会对HTML字符串进行安全检查，并只允许受信任的内容进行渲染，从而减少潜在的安全风险。

注意，在使用DomSanitizer时，确保只对受信任和经过验证的HTML字符串进行操作，并避免直接从用户输入或不受信任的来源获取HTML字符串。这样可以确保应用的安全性，并防止潜在的XSS攻击等安全问题。

HTML Sanitizer API

从上面的例子中可以看到，在常见的框架以及在HTML中渲染HTML字符串都存在一定的安全风险。当将用户提供的或不受信任的HTML字符串直接渲染到应用中时，可能会导致跨站脚本攻击（XSS）等安全漏洞。因此，在处理和渲染HTML字符串时，需要采取适当的安全措施来防止潜在的安全问题。

那 HTML 中有没有方法可以让我们安全的渲染 HTML 字符串呢？有，它就是 HTML Sanitizer API。不过这个 API 目前仍然是实验性的，在主流浏览器都支持之前，尽量不要在生产环境使用。下面先来看看这个 API 是怎么用的，为未来该 API 普遍可用做准备。

        是什么？

HTML Sanitizer API 在 2021 年初的草案规范中首次被宣布。它为网站上动态更新的HTML提供原生浏览器支持，可以从中删除恶意代码。可以使用 HTML Sanitizer API 在将不安全的 HTML 字符串和 Document 或 DocumentFragment 对象插入到 DOM 中之前对其进行清理和净化。

构建独立的 API 来进行清理的主要目标是：

• 减少 Web 应用中跨站脚本攻击的攻击面。

• 保证 HTML 输出在当前用户代理中的安全性。

• 提高清理器的可用性并使其更方便使用。

HTML Sanitizer API 的出现旨在提供一种方便且安全的方式来处理和净化 HTML，以减少潜在的安全风险，并提高用户代理的安全性。

Sanitizer API 带来了一系列新功能，用于字符串的净化过程：

• 用户输入的净化：该 API 的主要功能是接受并将字符串转换为更安全的形式。这些转换后的字符串不会意外执行 JavaScript，并确保您的应用程序受到跨站脚本攻击的保护。

• 浏览器维护：此库已预先安装在浏览器中，并将在发现错误或新的攻击向量时进行更新。因此，现在拥有了一个内置的净化器，无需导入任何外部库。

• 安全且简单易用：将净化操作转移到浏览器中使其更加便捷、安全和快速。由于浏览器已经具有强大而安全的解析器，它知道如何处理 DOM 中的每个活动元素。与浏览器相比，用 JavaScript 开发的外部解析器可能成本较高，并且很快就会过时。

      怎么用？

使用 Sanitizer API 非常简单，只需使用 Sanitizer() 构造函数实例化 Sanitizer 类，并配置实例即可。

对于数据的净化，该 API 提供了三个基本方法。让我们看看应该如何以及何时使用它们。

• 使用隐含上下文对字符串进行净化 

Element.setHTML() 用于解析和净化字符串，并立即将其插入到 DOM 中。这适用于已知目标 DOM 元素并且 HTML 内容以字符串形式存在的情况。

const $div = document.querySelector('div');
const user_input = `Hello There`;
const sanitizer = new Sanitizer() // Our Sanitizer

$div.setHTML(user_input, sanitizer); // 
Hello There

这里想将 user_string 中的 HTML 插入到 id 为 target 的目标元素中。也就是说，希望实现得到与 target.innerHTML = value 相同的效果，但避免 XSS 风险。

• 使用给定上下文对字符串进行净化

Sanitizer.sanitizeFor() 用于解析、净化和准备字符串，以便稍后添加到 DOM 中。当 HTML 内容以字符串形式存在，并且已知目标 DOM 元素类型（例如 div、span）时，此方法最适用。

const user_input = `Hello There`
const sanitizer = new Sanitizer()

sanitizer.sanitizeFor("div", user_input) // HTMLDivElement 

Sanitizer.sanitizeFor()的第一个参数描述了此结果所用于的节点类型。

在使用 sanitizeFor() 方法时，解析 HTML 字符串的结果取决于其所在的上下文/元素。例如，如果将包含  元素的 HTML 字符串插入到 

 元素中，则是允许的。但如果将其插入到 

 元素中，它将被移除。因此，在使用 Sanitizer.sanitizeFor() 方法时，必须将目标元素的标签指定为参数。

sanitizeFor(element, input)

这里也可以使用 HTML 元素中的 .innerHTML 来获取字符串形式的清理结果。

sanitizer.sanitizeFor("div", user_input).innerHTML // Hello There

• 使用节点进行净化

当已经有一个用户可控的 DocumentFragment 时，可以使用 Sanitizer.sanitize() 方法对 DOM 树节点进行净化。

const sanitizer = new Sanitizer()
const $userDiv = ...;
$div.replaceChildren(s.sanitize($userDiv));

除此之外，Sanitizer API 还通过删除和过滤属性和标签来修改 HTML 字符串。例如，Sanitizer API：

• 删除某些标签（script、marquee、head、frame、menu、object 等），但保留内容标签。

• 删除大多数属性。只会保留  标签上的 href 和 

、

标签上的 colspans，其他属性将被删除。 过滤可能引起脚本执行的字符串。     自定义 默认情况下，Sanitizer 实例仅用于防止 XSS 攻击。但是，在某些情况下，可能需要自定义配置的清理器。接下来，下面来看看如何自定义 Sanitizer API。 如果想创建自定义的清理器配置，只需要创建一个配置对象，并在初始化 Sanitizer API 时将其传递给构造函数即可。 const config = { allowElements: [], blockElements: [], dropElements: [], allowAttributes: {}, dropAttributes: {}, allowCustomElements: true, allowComments: true }; // 清理结果由配置定制 new Sanitizer(config) 以下配置参数定义了清理器应如何处理给定元素的净化结果。 allowElements：指定清理器应保留在输入中的元素。 blockElements：指定清理器应从输入中删除但保留其子元素的元素。 dropElements：指定清理器应从输入中删除，包括其子元素在内的元素。 const str = `hello there` new Sanitizer().sanitizeFor("div", str) // hello there new Sanitizer({allowElements: [ "b" ]}).sanitizeFor("div", str) // hello there new Sanitizer({blockElements: [ "b" ]}).sanitizeFor("div", str) // hello there new Sanitizer({allowElements: []}).sanitizeFor("div", str) // hello there 使用 allowAttributes 和 dropAttributes 参数可以定义允许或删除哪个属性。 const str = `hello there` new Sanitizer().sanitizeFor("div", str) // hello there new Sanitizer({allowAttributes: {"style": ["span"]}}).sanitizeFor("div", str) // hello there new Sanitizer({dropAttributes: {"id": ["span"]}}).sanitizeFor("div", str) // hello there AllowCustomElements 参数允许或拒绝使用自定义元素。 const str = `hello there` new Sanitizer().sanitizeFor("div", str); // new Sanitizer({ allowCustomElements: true, allowElements: ["div", "elem"] }).sanitizeFor("div", str); // hello there 注意：如果创建的 Sanitizer 没有任何参数且没有明确定义的配置，则将应用默认配置值。      浏览器支持 目前，浏览器对 Sanitizer API 的支持有限，并且规范仍在制定中。该 API 仍处于实验阶段，因此在生产中使用之前应关注其变化进展。 3 第三方库 到这里我们就知道了，原生 API 和常用的前端框架都没有提供可用的方式来安全的渲染HTML。在实际的开发中，我们可以借助已有的第三方库来安全的渲染 HTML，下面就来介绍几个常用给的库。 DOMPurify 可以通过以下步骤来使用 DOMPurify： 1.首先，安装DOMPurify库。可以通过运行以下命令来安装它： npm install dompurify 2.在需要使用的组件文件中，引入DOMPurify库： import DOMPurify from 'dompurify'; 3.在组件的适当位置，使用 DOMPurify 来净化HTML字符串，下面以 React 为例： import React from 'react'; const MyComponent = () => { const userInput = ' Hello, World! '; const cleanedHtml = DOMPurify.sanitize(userInput); return ; }; 这里通过在React组件的dangerouslySetInnerHTML属性中传递净化后的HTML内容来显示安全的HTML。 DOMPurify提供了一些选项和配置，可以使用这些选项来自定义DOMPurify的行为： import DOMPurify from 'dompurify'; // 创建自定义的白名单（允许的标签和属性） const myCustomWhiteList = DOMPurify.sanitize.defaults.allowedTags.concat(['custom-tag']); const myCustomAttributes = ['data-custom-attr']; // 创建自定义选项 const myOptions = { ALLOWED_TAGS: myCustomWhiteList, ATTRIBUTES: { ...DOMPurify.sanitize.defaults.ALLOWED_ATTR, 'custom-tag': myCustomAttributes, }, }; const userInput = ' Hello, World! Custom Content'; const cleanedHtml = DOMPurify.sanitize(userInput, myOptions); console.log(cleanedHtml); // 输出: Hello, World! Custom Content 这里定义了一个自定义的白名单myCustomWhiteList，包含了DOMPurify默认的允许标签，并添加了一个名为custom-tag的自定义标签。我们还定义了一个包含自定义属性data-custom-attr的对象myCustomAttributes。然后，创建了一个自定义选项myOptions，通过覆盖ALLOWED_TAGS和ATTRIBUTES来应用自定义的白名单和属性规则。最后，使用DOMPurify.sanitize()方法，并传入用户输入的HTML和自定义选项myOptions，DOMPurify 会根据自定义规则进行过滤和净化。 可以根据需要定义自己的白名单（允许的标签）和属性，并在自定义选项中使用它们来自定义DOMPurify的行为。      js-xss js-xss是一个JavaScript库，用于防御和过滤跨站脚本攻击（XSS）。它提供了一组方法和函数，可以净化和转义用户输入的HTML内容，以确保在浏览器环境中呈现的HTML是安全的。 js-xss库使用白名单过滤器的概念来防御XSS攻击。它定义了一组允许的HTML标签和属性，同时还提供了一些选项和配置来定制过滤规则。使用js-xss，可以对用户提交的HTML内容进行净化，删除或转义所有潜在的危险代码，只保留安全的HTML标签和属性。 可以通过以下步骤来使用 js-xss： 1.安装js-xss库：通过npm或yarn安装js-xss库。 npm install xss 2.导入js-xss库：在React组件文件中导入js-xss库。 import xss from 'xss'; 3.使用js-xss过滤HTML内容：在需要过滤HTML的地方，调用js-xss的方法来净化HTML。 import React from 'react'; import xss from 'xss'; const MyComponent = () => { const userInput = ' Hello, World! '; const cleanedHtml = xss(userInput); return ; }; export default MyComponent; 这里在MyComponent组件中使用了dangerouslySetInnerHTML属性来渲染HTML内容。通过调用xss()函数并传入用户输入的HTML，我们可以将其过滤和净化，并将结果设置为组件的内容。 js-xss库提供了一些选项和配置，可以使用这些选项来定义自定义的过滤规则： import xss from 'xss'; // 创建自定义WhiteList过滤规则 const myCustomWhiteList = { a: ['href', 'title', 'target'], // 只允许'a'标签的'href', 'title', 'target'属性 p: [], // 允许空白的'p'标签 img: ['src', 'alt'], // 只允许'img'标签的'src', 'alt'属性 }; // 创建自定义选项 const myOptions = { whiteList: myCustomWhiteList, // 使用自定义的WhiteList过滤规则 }; const userInput = ' Hello, World! Example'; const cleanedHtml = xss(userInput, myOptions); console.log(cleanedHtml); // 输出: Hello, World! Example 这里定义了一个自定义的WhiteList过滤规则myCustomWhiteList，并将其传递给定义的选项myOptions。然后，调用xss()函数时传入用户输入的HTML和自定义选项，js-xss库会根据自定义的规则进行过滤和净化。   sanitize-html sanitize-html使用一个白名单（配置选项）来定义允许的标签、属性和样式，并将所有不在白名单内的内容进行过滤和删除。它还可以处理不匹配的标签、标签嵌套问题和其他HTML相关的问题。 可以通过以下步骤来使用 sanitize-html： 1.在项目中安装sanitize-html库： npm install sanitize-html 2.在组件中引入sanitize-html库： import sanitizeHtml from 'sanitize-html'; 3.在组件中使用sanitizeHtml函数来净化和过滤HTML代码。例如，您以将用户输入的HTML存储在组件的状态或属性中，并在渲染时应用sanitizeHtml函数： import React from 'react'; import sanitizeHtml from 'sanitize-html'; function MyComponent() { const userInput = ' Hello, World! '; const cleanedHtml = sanitizeHtml(userInput); return (   ); } 这里在组件内部定义了用户输入的HTML代码，并使用sanitizeHtml函数对其进行净化。然后，使用dangerouslySetInnerHTML属性将经过净化的HTML代码渲染到页面上。 可以使用sanitize-html提供的sanitize函数并传递一个配置对象作为参数来自定义sanitize-html的配置，配置对象可以包含一系列选项，用于定义过滤规则和允许的HTML标签和属性等。 import sanitizeHtml from 'sanitize-html'; const customConfig = { allowedTags: ['b', 'i', 'u'], // 允许的标签 allowedAttributes: { a: ['href'] // 允许的a标签属性 }, allowedSchemes: ['http', 'https'], // 允许的URL协议 allowedClasses: { b: ['bold', 'highlight'], // 允许的b标签的class i: ['italic'] // 允许的i标签的class }, transformTags: { b: 'strong', // 将b标签转换为strong标签 i: 'em' // 将i标签转换为em标签 }, nonTextTags: ['style', 'script', 'textarea', 'noscript'] // 不允许解析的标签 }; const userInput = 'Hello World Link'; const cleanedHtml = sanitizeHtml(userInput, customConfig); 这里创建了一个名为customConfig的配置对象，其中包含了一些自定义的过滤规则和选项。这个配置对象定义了允许的标签、允许的属性、允许的URL协议、允许的CSS类名、标签的转换规则以及不允许解析的标签等。 然后，将用户输入的HTML代码作为第一个参数传递给sanitizeHtml函数，并将customConfig作为第二个参数传递。sanitizeHtml函数将根据配置对象中定义的规则对HTML代码进行过滤和净化，并返回经过净化后的HTML代码 你可能感兴趣的:(前端,安全) 去大山玩 赵迁越 经过我和弟弟几天的软磨硬泡，爸爸终于同意带我和弟弟去大山玩。一路上欢歌笑语，凉凉的微风把我的心情也吹起来了！路越来越陡，山越来越高，风也越来越大。我们大口呼吸着山中的新鲜空气，欣赏着大山的巍峨气魄。我和弟弟来到单脚行走的木桩，比赛谁先到。爸爸负责我们的安全。我因为着急得第一，伤着一次，想退出比赛，爸爸鼓励我，不论输赢要坚持到底，我又有了信心，最后我赢得了这场比赛。我们恋恋不舍的下山了，回头望着越来 医药医疗行业数字化转型数据架构设计方法论及典型案例 数字化建设方案 数字化转型数据治理主数据数据仓库大数据人工智能数据挖掘数据库架构 医药医疗行业数字化转型数据架构设计方法论及典型案例医药医疗行业数字化转型数据架构设计方法论及典型案例数字化转型背景与趋势医药行业现状及挑战数字化转型必要性发展趋势与前景展望数据架构设计方法论数据架构概述及重要性设计原则与策略制定实施步骤与关键技术典型案例分析：某大型药企数据架构实践项目背景与目标设定数据架构规划与设计过程实施效果及经验总结面临的挑战与解决方案数据质量管理问题及对策数据安全防护策略部 把背包丢过墙 小可乐的妈妈 曾听过这样一个故事:当一个人背着包，跑向目的地时遇到了一面阻碍他去路的墙。他该怎么做？有一种人选择放弃，转身离开；而另一种人则选择把背包扔过墙，然后想办法，绕过或翻过这面墙。两种人，两种做法，体现了两种不同的思维模式，一种是确保稳妥后再行动的谨慎型，一种是不避艰险立即行动的果敢型。前者看起来更安全，也是多数人的选择；后者看起来很冒险，只有少数人会这么做。而要做成一件事，更高效的往往是后者。当一个人 返利app排行榜！返利平台哪个佣金更高 桃朵app 返利app排行榜！返利平台哪个佣金更高排名第一的是乖淘app。佣金高。模式好。第二是桃朵。稳定安全。本文作者：乖淘&创始人导师（26688）霸屏找乖淘！价格低效果好！专注网络推广20年，累积精准引流过千万。应用商店搜索下载乖淘，填写邀请码123456注册后，后台可以联系我，注册免费送运营商，送万元推广大礼包，送百度霸屏、强势引流技术！返利已经成为网购省钱的必备技能，返利App也是五花八门，越来越多 Docker mysql 配置文件读取失败 [Warning] World-writable config file ‘/etc/mysql/conf.d/my.cnf‘ is ignored. DN金猿 dockerdockermysql容器 这个警告表明MySQL正在忽略/etc/mysql/conf.d/my.cnf这个配置文件，因为它被设置为了全世界可写。这个警告是基于安全性的考虑。当配置文件被设置为全世界可写时，任何人都可以修改它，这可能会导致安全风险，因为恶意用户可以更改MySQL的配置，从而影响数据库的行为和安全性。为了解决这个问题，你可以按照以下步骤进行操作：更改配置文件的权限：使用chmod命令将配置文件的权限设置为更安 防火墙安全攻防：威胁洞察与防御策略解析 专家大圣 信息安全网络web安全安全 摘要：随着信息技术的飞速发展，网络安全问题日益凸显。防火墙作为网络安全的重要防线，面临着各种攻击的威胁。本文详细探讨了防火墙可能遭受的攻击方式，包括常见的网络层攻击、应用层攻击等，并深入分析了相应的防御策略和技术，旨在为构建更加安全可靠的网络环境提供参考。目录一、引言二、防火墙概述三、防火墙攻击方式四、防火墙防御策略五、防火墙技术发展趋势六、结论一、引言在当今数字化时代，网络已经成为人们生活和工作 亲子教育～态度问题 杨钥钥 父母常常把孩子的能力问题视为态度问题，在孩子最需要帮助时给予打击和责罚。如认为孩子哭闹是脾气坏、任性，而不从孩子需要提升理性表达情绪的能力方面去理解；如孩子认生或被欺负是胆小、懦弱，而不想着去提升孩子的安全感、勇气和交往能力。这不仅无助问题解决，还容易导致孩子低自尊、低自我评价。把孩子的能力问题视为态度问题，多源于父母对孩子所处生长阶段的身心规律、特点缺乏了解和尊重，拿孩子当“大人”，甚至“圣人” 前端知识HTML&CSS 啵啵薯条 前端前端htmlcss 目录1.前端开发介绍1.1认识前端开发1.2web标准2.HTML&CSS2.1HTML快速入门2.1.1操作2.1.2总结2.2开发工具2.3基础标签&样式2.3.1标题实现2.3.1.1标题排版2.3.1.1.1分析2.3.1.1.2标签2.3.1.1.2实现2.3.1.2标题样式2.3.1.2.1CSS引入方式2.3.1.2.2颜色表示2.3.1.2.3标题字体颜色2.3.1.2.4CSS选 什么是端点安全 ManageEngine卓豪 终端管理终端安全终端安全端点安全 端点安全是网络安全策略的重要组成部分，侧重于保护网络中的各个设备（端点）免受各种网络威胁和未经授权的访问。通过实施全面的端点安全解决方案，可以降低与恶意软件感染、数据泄露、网络钓鱼攻击和内部威胁等相关风险。什么是端点端点包括各种设备，包括：笔记本电脑台式电脑移动设备（如智能手机和平板电脑）服务器IoT设备销售点系统数字打印机每个端点都是网络漏洞和破坏网络安全的潜在切入点。为什么需要端点安全端点安全 什么是日志分析 ManageEngine卓豪 日志管理日志分析日志管理 日志分析（或日志文件分析）是检查整个网络生成的日志数据的过程，日志数据从各种来源生成，包括外围设备、工作站、服务器、应用程序以及其他硬件和软件组件，集中收集并分析这些信息，可以更好地理解网络运行、排除故障、维护网络安全。如何分析日志文件执行日志分析可以通过两种方式完成：手动筛选日志数据或使用日志分析工具。手动日志分析手动日志分析涉及个人或团队对日志文件进行物理检查，由于日志数据的数量和复杂性，这可 计算机三级数据库---基础篇 沐硕 数据库 适合考前14天以上的小伙伴按照以下章节进行详细学习第一章数据库应用系统开发方法选择题第二章需求分析选择题第三章数据库结构设计（自底向上）选择题第四章数据库应用系统功能设计与实现选择题第五章UML与数据库应用系统填空+选择第六章高级数据查询填空题第七章数据库及数据库对象大题第八章数据库后台编程技术填空题第九章安全管理选择题第十章数据库运行维护与优化填空+选择第十一章故障管理选择题第十二章备份与恢复数 疫苗●天堂 严意军TOMATO (关注微信号：tomatoqq)这个周末被疫苗之王刷屏，翻开小孩的疫苗本，有这家公司疫苗的接种记录，但中彩没有就不知道了。这段时间遇到装修公司携款跑路，项目经理敲诈、威胁业主安全，比起假疫苗事件太微乎其微了。这里国泰民安、社会和谐，不但是大家的幸福天堂，也是政客和商客的醉美天堂，遇事总能大事化小、小事化了。就像贾跃亭跑了，转个身就有人来送钱，又是一个大牛。儿童节的礼物——宝宝们的明天会更好疫苗之王 设计模式（四）：创建型设计模式 这里用来记录 一、单例模式1.为什么要使用单例？单例设计模式（SingletonDesignPattern）理解起来非常简单。一个类只允许创建一个对象（或者实例），那这个类就是一个单例类，这种设计模式就叫作单例设计模式，简称单例模式。如何实现一个单例1.饿汉式在类加载的时候，instance静态实例就已经创建并初始化好了，所以，instance实例的创建过程是线程安全的。不过，这样的实现方式不支持延迟加载pub 前端缓存详解以及相关性能优化策略 xz鹏 性能优化缓存前端 文章目录前言一、前端缓存概述1.什么是缓存2.什么是前端缓存3.前端缓存分类二、HTTP缓存1.什么是HTTP缓存2.HTTP缓存分类3.HTTP缓存流程图4.强缓存5.协商缓存三、浏览器缓存1.ServiceWorkerCache2.MemoryCache3.DiskCache四、存储型缓存1.Cookie2.WebStorage3.IndexedDB和WebSQL（了解）五、优先级六、前端缓存 C++设计模式---单例模式 xinruoqianqiu 设计模式c++设计模式单例模式 1、介绍单例模式（SingletonPattern）是一种创建型设计模式，它确保一个类只有一个实例，并提供一个全局访问点来获取这个唯一实例。这种模式在多线程环境中需要特别注意线程安全，并且应该避免在析构时产生问题（如产生死锁）。思考：如何绕过常规的构造函数，提供一种机制来保证一个类只有一个实例。解决过程：（1）要实现单例模式，先把构造函数私有化。私有化带来的问题是：外部不可以定义对象，即不可以从外 Vue学习笔记 一 涔溪 vuevue.js学习笔记 Vue学习笔记1、Vue基础指令1.1什么是Vue?Vue.js是一套响应式的JavaScript开发库。Vue.js自问世以来所受关注度不断提高，在现在的市场上，Vue.js是非常流行的JavaScript技术开发框架之一。Vue是一款国产前端框架，它的作者尤雨溪（EvanYou）是一位美籍华人，2014年2月，尤雨溪开源了一个前端开发库Vue.js，2015年发布1.0.0版本，2016年4月 陪玩系统怎么保证安全性和隐私保护呢？有现成系统可打包App小程序H5公众号，源码交付支持二开 yuanmaxiaoxiao webapp微信小程序 陪玩系统在保证安全性和隐私保护方面，通常会采取一系列综合性的措施来确保用户的个人信息和游戏账号安全。以下是一些主要的措施：一、加强数据加密与存储安全数据加密：对用户的敏感数据（如个人信息、支付信息、聊天记录等）进行加密处理，使用业界认可的加密算法（如SSL/TLS加密传输）来保护数据在传输和存储过程中的安全性。安全存储：将用户数据存储于安全隔离的服务器上，防止未经授权的访问和数据泄露。这些服务器通 非关系型数据库Redis部署与常用命令 Fang_Qianling 非关系型数据库Redisredis 前言Redis是一个高性能的开源内存数据库，常用于缓存、会话存储和实时数据处理，它是一款非关系型数据库。在生产环境中，Redis通过将数据存储在内存中以及支持多种数据结构，提供了快速的读写能力，并且可通过持久化功能确保数据安全。其作为消息代理系统还能支持发布/订阅模式，使得它成为构建实时通信和事件驱动架构的理想选择。目录一、关系数据库与非关系型数据库1.关系型数据库2.非关系型数据库3.区别二、R 第八章 【前端】Mock.js（8.2）——数据模板定义规范 DTD yu玉米mi 前端vue.js 8.2数据模板定义规范DTD数据模板中的每个属性由3部分构成：属性名、生成规则、属性值：//'属性名|生成规则':属性值'name|rule':value属性名和生成规则之间用竖线|分隔。生成规则是可选的，生成规则有7种格式：‘name|min-max’:value‘name|count’:value‘name|min-max.dmin-dmax’:value‘name|min-max.dcoun 前端Vue + qrcode实现二维码生成 小倪有点菜 vue.js前端javascript 后端接口会返回一串由数字和英文组合的字符串getQRInviteCode(){//清除上一次的二维码if(this.$refs.qrcode){this.$refs.qrcode.innerHTML='';//清除二维码方法}//生成二维码(这里有个坑，一定要在new关键字前面用等于号，赋给一个变量，否则vue运行会报错)qrcode是HTML中的显示二维码的divsetTimeout(()=>{ 【2012Esri中国用户大会讲座】ArcGIS 10.1 for Server 安全机制（5）数据库集成安全... iteye_8029 数据库 1常见用户需求在发布和使用GIS服务的过程中，经常会遇到如下的一些需求：1)同一个服务，不同用户访问不同的图层2)同一个图层，只允许个别用户进行编辑3)图层中包含的敏感信息，只允许少数用户访问4)图层中的特殊字段，只允许个别用户编辑5)同一个图层，不同部门的用户只能访问相关的要素6)……这是很常见的一些服务安全控制需求，针对这些需求，ArcGIS提供了完整的解决方案—数据库集成安全。2数据库集成安 web零碎知识 白色的风扇 前端 在后端想要发送一个JSON对象可以使用Gson//使用Gson将对象转换为JSON字符串Gsongson=newGson();Stringjson=gson.toJson(user);就会把一个对象转化为一个JSON字符串，//设置响应内容类型为JSONresponse.setContentType("application/json");这样返回前端的时候就会将JSON字符串转化为一个JSON对 深入剖析webrtc事件机制 sigslot 头快撑不住了 源码解析webrtcwebrtc音视频 一、什么是信号槽在构建大型C++项目过程中，如何在各个类之间高效且安全地传递数据或事件是一项具有挑战性的任务。最直接但并不推荐的方法是使用全局变量。虽然这种方法简单易用，但它会导致命名冲突，难以维护，且全局变量的值容易在不知情的情况下被意外修改。另一种常见的方式是使用回调函数。在这种情况下，类A会注册类B的回调函数。然而，这种方法的缺点在于对象的声明周期难以控制，经常会出现回调函数触发时，对象已经 Spring中常见的设计模式 苓风星河 设计模式javaspring Spring中常见的设计模式1、Java设计模式设计模式（DesignPattern）是解决特定问题的一系列套路。它不是语法规定，而是一套用来提高代码可复用性、可维护性、可读性、稳健性以及安全性的解决方案。早在1995年，GOF合作出版了《设计模式：可复用面向对象软件的基础》一书，共收录了23种设计模式，人称「GoF设计模式」。这23种设计模式的本质是面向对象设计原则的实际运用，是对类的封装性、继 享受最后一天假期生活 鹰荻 今天是我春节假期的最后一天，明天就该上班了。图片发自App放松了十天的时间，虽然中间偶然加班，但总体还是处于休假状态，比较慵懒。今天，上班前的最后一天，思想上不由就收紧了。把自己的工作服整理摆放好，胸牌挂好，闹钟调整好。图片发自App然后电话布置好明天一早的工作，约好集合时间和地点，与现场安全巡查组的人员一起，进行节后安全隐患排查和检查工作。为了确保安全，我们检查一般是7:30前开始，在大家上班前 必看！微信小程序必备证书！ pemper_ SSL微信小程序小程序ssl网络协议网络https 微信小程序必备SSL证书。在日益增长的数字经济中，微信小程序已成为商家与消费者之间重要的交互平台。由于其便捷性和广泛的用户基础，越来越多的企业选择通过小程序来提供服务。然而，在开发和部署微信小程序时，确保数据安全是一个不可忽视的环节，安装SSL证书是其中的关键步骤。1、HTTPS支持：确保你的服务器配置了有效的SSL证书，支持HTTPS协议。这是微信小程序能够成功发起网络请求的基础。2、证书的有效 雨天出行，注意安全 孟冬廿六 今天凌晨一点多，突然电闪雷鸣，紧接着狂风大作，雷声好像在空中炸开了锅，震得门窗都轰鸣作响。二十来分钟之后大雨倾盆而下，打在窗户上劈啪作响，大风吹的树枝左右摇摆好像要折断一般。这样的大雨下了有大半个小时，然后慢慢小了，结果没一会儿又是一阵，就这样下下停停，停停下下，一直到天亮。早上出门路上的车堵的已经不像样，因为大雨还在持续不断地下着，所以大家车速都比较慢。后来看朋友圈发现好多地方都下了大冰雹，还有 Java整体基础知识体系图 神州永泰 java编程语言大数据javaspringmysql 一java介绍‌Java是一种高级编程语言，由SunMicrosystems公司于1995年推出。‌Java具有跨平台性、面向对象、健壮性、安全性、可移植性等特点，被广泛应用于企业级应用开发、移动应用开发、大数据处理、云计算等领域。Java程序可以在不同的操作系统上运行，只需编译一次，就可以在任何支持Java虚拟机(JVM)的平台上运行，这得益于Java的“一次编写，随处运行”的特性。Java是面 最赚钱网络拉新项目非原力元宇宙莫属 口碑信息传播者 在数字化浪潮汹涌的今天，网络拉新项目层出不穷，但真正能够颠覆传统、引领未来的项目却寥寥无几。而原力元宇宙，就是这样一个引人注目的存在。它不仅提供了一个安全、去中心化的平台，更让每一个参与者都能在这里赚取真金白银，享受前所未有的网络拉新体验。13分钟视频内容讲明白原力元宇宙创富项目，中国区运营服务对接微信：ForceZen在原力元宇宙中，你的所有个人信息都是安全的。这是一个去中心化的DAPP，它摒弃 专业监理工程师职责2023-04-14 功能美 专业监理工程师职责：【12条】1、参与编制监理规划、负责编制监理实施细则；2、审查施工单位提交的涉及本专业的报审文件，并向总监理工程师报告；3、参与审核分包单位资格；4、指导、检查监理员工作，定期向总监理工程师报告本专业监理工作实施情况；5、检查进场的工程材料、构配件、设备的质量；6、验收检验批、隐蔽工程、分项工程，参与验收分部工程；7、处置发现的质量问题和安全事故隐患；8、进行工程计量；9、参与 js动画html标签（持续更新中） 843977358 htmljs动画mediaopacity 1.jQuery 效果 - animate() 方法    改变 "div" 元素的高度：    $(".btn1").click(function(){      $("#box").animate({height:"300px springMVC学习笔记 caoyong springMVC 1、搭建开发环境    a>、添加jar文件，在ioc所需jar包的基础上添加spring-web.jar,spring-webmvc.jar    b>、在web.xml中配置前端控制器       <servlet>     &nbs POI中设置Excel单元格格式 107x poistyle列宽合并单元格自动换行 引用：http://apps.hi.baidu.com/share/detail/17249059 POI中可能会用到一些需要设置EXCEL单元格格式的操作小结： 先获取工作薄对象: HSSFWorkbook wb = new HSSFWorkbook(); HSSFSheet sheet = wb.createSheet(); HSSFCellStyle setBorder = wb. jquery 获取A href 触发js方法的this参数 无效的情况 一炮送你回车库 jquery html如下：  <td class=\"bord-r-n bord-l-n c-333\"> <a class=\"table-icon edit\" onclick=\"editTrValues(this);\">修改</a> </td>"   j md5 3213213333332132 MD5 import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; public class MDFive { public static void main(String[] args) { String md5Str = "cq 完全卸载干净Oracle11g sophia天雪 orale数据库卸载干净清理注册表 完全卸载干净Oracle11g A、存在OUI卸载工具的情况下：     第一步：停用所有Oracle相关的已启动的服务；     第二步：找到OUI卸载工具：在“开始”菜单中找到“oracle_OraDb11g_home”文件夹中         & apache 的access.log 日志文件太大如何解决 darkranger apache CustomLog logs/access.log common  此写法导致日志数据一致自增变大。 直接注释上面的语法 #CustomLog logs/access.log common 增加： CustomLog "|bin/rotatelogs.exe -l logs/access-%Y-%m-d.log  Hadoop单机模式环境搭建关键步骤 aijuans 分布式         Hadoop环境需要sshd服务一直开启，故，在服务器上需要按照ssh服务，以Ubuntu Linux为例，按照ssh服务如下： sudo apt-get install ssh sudo apt-get install rsync 编辑HADOOP_HOME/conf/hadoop-env.sh文件，将JAVA_HOME设置为Java PL/SQL DEVELOPER 使用的一些技巧 atongyeye javasql 1 记住密码 这是个有争议的功能，因为记住密码会给带来数据安全的问题。 但假如是开发用的库，密码甚至可以和用户名相同，每次输入密码实在没什么意义，可以考虑让PLSQL Developer记住密码。 位置：Tools菜单－－Preferences－－Oracle－－Logon HIstory－－Store with password 2 特殊Copy 在SQL Window PHP：在对象上动态添加一个新的方法 bardo 方法动态添加闭包 有关在一个对象上动态添加方法，如果你来自Ruby语言或您熟悉这门语言，你已经知道它是什么...... Ruby提供给你一种方式来获得一个instancied对象，并给这个对象添加一个额外的方法。   好！不说Ruby了，让我们来谈谈PHP   PHP未提供一个“标准的方式”做这样的事情，这也是没有核心的一部分...   但无论如何，它并没有说我们不能做这样 ThreadLocal与线程安全 bijian1013 javajava多线程threadLocal 首先来看一下线程安全问题产生的两个前提条件：  1.数据共享，多个线程访问同样的数据。  2.共享数据是可变的，多个线程对访问的共享数据作出了修改。    实例：         定义一个共享数据： public static int a = 0;         Tomcat 架包冲突解决 征客丶 tomcatWeb 环境： Tomcat 7.0.6 win7 x64 错误表象：【我的冲突的架包是：catalina.jar 与 tomcat-catalina-7.0.61.jar 冲突，不知道其他架包冲突时是不是也报这个错误】 严重: End event threw exception java.lang.NoSuchMethodException: org.apache.catalina.dep 【Scala三】分析Spark源代码总结的Scala语法一 bit1129 scala Scala语法 1. classOf运算符 Scala中的classOf[T]是一个class对象，等价于Java的T.class,比如classOf[TextInputFormat]等价于TextInputFormat.class    2. 方法默认值 defaultMinPartitions就是一个默认值，类似C++的方法默认值     java 线程池管理机制 BlueSkator java线程池管理机制 编辑 Add Tools   jdk线程池   一、引言 第一：降低资源消耗。通过重复利用已创建的线程降低线程创建和销毁造成的消耗。第二：提高响应速度。当任务到达时，任务可以不需要等到线程创建就能立即执行。第三：提高线程的可管理性。线程是稀缺资源，如果无限制的创建，不仅会消耗系统资源，还会降低系统的稳定性，使用线程池可以进行统一的分配，调优和监控。   关于hql中使用本地sql函数的问题（问-答） BreakingBad HQL存储函数 转自于：http://www.iteye.com/problems/23775 问： 我在开发过程中，使用hql进行查询（mysql5）使用到了mysql自带的函数find_in_set()这个函数作为匹配字符串的来讲效率非常好，但是我直接把它写在hql语句里面（from ForumMemberInfo fm,ForumArea fa where find_in_set(fm.userId,f 读《研磨设计模式》-代码笔记-迭代器模式-Iterator bylijinnan java设计模式 声明： 本文只为方便我个人查阅和理解，详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ import java.util.Arrays; import java.util.List; /** * Iterator模式提供一种方法顺序访问一个聚合对象中各个元素，而又不暴露该对象内部表示 * * 个人觉得，为了不暴露该 常用SQL chenjunt3 oraclesqlC++cC# --NC建库 CREATE TABLESPACE NNC_DATA01 DATAFILE 'E:\oracle\product\10.2.0\oradata\orcl\nnc_data01.dbf' SIZE 500M AUTOEXTEND ON NEXT 50M EXTENT MANAGEMENT LOCAL UNIFORM SIZE 256K ; CREATE TABLESPA 数学是科学技术的语言 comsci 工作活动领域模型   从小学到大学都在学习数学，从小学开始了解数字的概念和背诵九九表到大学学习复变函数和离散数学，看起来好像掌握了这些数学知识，但是在工作中却很少真正用到这些知识，为什么？    最近在研究一种开源软件-CARROT2的源代码的时候，又一次感觉到数学在计算机技术中的不可动摇的基础作用，CARROT2是一种用于自动语言分类（聚类）的工具性软件，用JAVA语言编写，它 Linux系统手动安装rzsz 软件包 daizj linuxszrz 1、下载软件 rzsz-3.34.tar.gz。登录linux，用命令 wget http://freeware.sgi.com/source/rzsz/rzsz-3.48.tar.gz下载。 2、解压 tar zxvf  rzsz-3.34.tar.gz 3、安装  cd rzsz-3.34 ; make posix 。注意：这个软件安装与常规的GNU软件不 读源码之:ArrayBlockingQueue dieslrae java     ArrayBlockingQueue是concurrent包提供的一个线程安全的队列,由一个数组来保存队列元素.通过 takeIndex和 putIndex来分别记录出队列和入队列的下标,以保证在出队列时 不进行元素移动. //在出队列或者入队列的时候对takeIndex或者putIndex进行累加,如果已经到了数组末尾就又从0开始,保证数 C语言学习九枚举的定义和应用 dcj3sjt126com c 枚举的定义 # include <stdio.h> enum WeekDay { MonDay, TuesDay, WednesDay, ThursDay, FriDay, SaturDay, SunDay }; int main(void) { //int day; //day定义成int类型不合适 enum WeekDay day = Wedne Vagrant 三种网络配置详解 dcj3sjt126com vagrant Forwarded port Private network Public network Vagrant 中一共有三种网络配置，下面我们将会详解三种网络配置各自优缺点。 端口映射(Forwarded port)，顾名思义是指把宿主计算机的端口映射到虚拟机的某一个端口上，访问宿主计算机端口时，请求实际是被转发到虚拟机上指定端口的。Vagrantfile中设定语法为： c 16.性能优化-完结 frank1234 性能优化 性能调优是一个宏大的工程，需要从宏观架构(比如拆分，冗余，读写分离，集群，缓存等)， 软件设计（比如多线程并行化，选择合适的数据结构）， 数据库设计层面（合理的表设计，汇总表，索引，分区，拆分，冗余等） 以及微观（软件的配置，SQL语句的编写，操作系统配置等）根据软件的应用场景做综合的考虑和权衡，并经验实际测试验证才能达到最优。 性能水很深， 笔者经验尚浅 ，赶脚也就了解了点皮毛而已，我觉得 Word Search hcx2013 search Given a 2D board and a word, find if the word exists in the grid. The word can be constructed from letters of sequentially adjacent cell, where "adjacent" cells are those horizontally or ve Spring4新特性——Web开发的增强 jinnianshilongnian springspring mvcspring4 Spring4新特性——泛型限定式依赖注入 Spring4新特性——核心容器的其他改进 Spring4新特性——Web开发的增强 Spring4新特性——集成Bean Validation 1.1(JSR-349)到SpringMVC  Spring4新特性——Groovy Bean定义DSL Spring4新特性——更好的Java泛型操作API  Spring4新 CentOS安装配置tengine并设置开机启动 liuxingguome centos yum install gcc-c++  yum install pcre pcre-devel  yum install zlib zlib-devel  yum install openssl openssl-devel Ubuntu上可以这样安装 sudo aptitude install libdmalloc-dev libcurl4-opens 第14章 工具函数（上） onestopweb 函数 index.html <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/ Xelsius 2008 and SAP BW at a glance blueoxygen BOXelsius Xelsius提供了丰富多样的数据连接方式，其中为SAP BW专属提供的是BICS。那么Xelsius的各种连接的优缺点比较以及Xelsius是如何直接连接到BEx Query的呢？ 以下Wiki文章应该提供了全面的概览。   http://wiki.sdn.sap.com/wiki/display/BOBJ/Xcelsius+2008+and+SAP+NetWeaver+BW+Co oracle表空间相关 tongsh6 oracle 在oracle数据库中，一个用户对应一个表空间，当表空间不足时，可以采用增加表空间的数据文件容量，也可以增加数据文件，方法有如下几种： 1.给表空间增加数据文件    ALTER TABLESPACE "表空间的名字" ADD DATAFILE    '表空间的数据文件路径' SIZE 50M;   &nb .Net framework4.0安装失败 yangjuanjava .netwindows 上午的.net framework 4.0，各种失败，查了好多答案，各种不靠谱，最后终于找到答案了 和Windows Update有关系，给目录名重命名一下再次安装，即安装成功了！ 下载地址：http://www.microsoft.com/en-us/download/details.aspx?id=17113 方法： 1.运行cmd，输入net stop WuAuServ 2.点击开 按字母分类： ABCDEFGHIJKLMNOPQRSTUVWXYZ其他 首页 - 关于我们 - 站内搜索 - Sitemap - 侵权投诉 版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.