Web安全测试之XSS
Web安全测试之XSS
XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效
将form表单里的数据封装成对象 json2.js的例子 jquery的serialize方法转换空格为+号的解决方法
将form表单里的数据封装成对象 json2.js的例子 jquery的serialize方法转换空格为+号的解决方法
将form表单里的数据封装成json对象即object,在后台中用usr就能接收全部参数了。可适用于strts2,easyUI的DataGrid 传参等
需要引用的js库有jquery 和 json2.js
[html]
view plaincopy
RESTful的理解
RESTful的理解
REST(Representational State Transfer ),有中文翻译为"具象状态传输"(也有:"代表性状态传输")。是由 Roy Thomas Fielding博士 在2000年就读加州大学欧文分校期间在学术论文中提出的一个术语。他首次
【译】【nodeschool】【scope-chains-closures】全局作用域与遮挡
全局作用域与遮挡 全局作用域 我们需要明白在作用域链的末尾是整个作用域中很重要的一部分。所有的javascript 运行环境必须隐式的创建一个居于每条作用域链顶部的全局作用域对象(如 浏览器中的window对象,node环境中的global对象): (global)
↑
someFunc()
/ \
inner() inner2()
blockChain - ntp
udp 获取 pool.ntp.org 时间 http://www.ntp.org.cn/index.php NTP(Network Time Protocol,网络时间协议)采用的传输层协议为 UDP,使用的 UDP 端口号为 123。 通常将从权威时钟(如原子时钟)获得时间同步的NTP服务器的层数设置为1,并将其作为主时间服务器,为网络中其他设备的时钟提供时间同步。网络中的设备与主时间服务器的NTP距离,即NTP同步链上NTP服务器的数目,决定了设备上时钟的层数。例如,从主时间服务器获得时
提交设置为enctype="multipart/form-data"的表单时中文乱码解决
当页面表单设置为enctype="multipart/form-data"时,提交数据为中文的时候是乱码的
查看提交的数据:
name
éææ°
sex
ç·
解决:
因为表单设置为enctype="multipart/form-data"时就是在发送到服务器之前,所有字符都会进行编码(空格转换为 "+" 加
利用 Spring MVC 和 RestTemplate 实现 CorsProxy
CORS PROXY 是什么
跨域的问题大家应该都知道了,ajax 请求是不能直接调用另一个域名下的接口的,虽然 jsonp 可以解决一定的问题,但是对于 Post、PUT、DELETE 等高级功能的支持上就无能为力了。
为了解决这个问题,高级浏览器中都开始支持 CORS 了,CORS 在 headers 中定义了相关参数,告诉浏览器我的接口是否允许被外部站定请求,允许哪些 Method
MyBatis Log4j配置输出sql语句
默认控制台是不会打印出mybatis的sql语句的
所以需要配置log4j进行打印输出
需要jar包
log4j-1.2.17.jar
slf4j-api-1.6.0.jar
slf4j-log4j12-1.6.0.jar
###log4j.properties配置
log4j.rootLogger=DEBUG, stdout
log4j.logger.java.sql.
Android Repo
Android Repo
关于Android源码下载的问题,纠结了很久,遇到很多问题,现在终于解决了,小结一下。
1、Repo是什么?
“repo只是google用Python脚本写的调用git的一个脚本,主要是用来下载、管理Android项目的软件仓库。(也就是说,他是用来管理给git管理的一个个仓库的)”引用来源
2、
Your First Apache Shiro Application
If you're new to Apache Shiro, this short tutorial will show you how to set up an initial and very simple application secured by Apache Shiro. We'll discuss Shiro's core concepts along the way to help
Apache Shiro Architecture
Apache Shiro's design goals are to simplify application security by being intuitive and easy to use. Shiro's core design models how most people think about application security - in the context of som
更改maven默认的打包目录:将class文件和lib目录打包放到指定的目录
maven-war-plugin
${basedir}/src/main/webapp
${basedir}/src/main/webapp
禁用COOKIE后如何访问SESSION问题
最近看到一个有关在PHP中使用COOKIE会话管理的面试题,不单单是因为这道题很有意思,还有就是自己以前确实没有想到过这个方面(知识欠缺:P),所以这里做个记录总结下,该题大概是这样描述的:
如何不使用cookie向客户端发送一个cookie?
刚看到这道题时确实懵了,愣是没看懂,后面在网上搜索了下,猜测出题人的意图估计是想解决这样的一个场景:
当客户端端禁用COOKIE时,如何在本地保存C
使用SpringSecurity4引发的问题:Refused to display 'http://localhost:8080/xx in a frame because it set 'X-Fr
再将Spring Security3升级到Spring Security4后发现访问网页子窗口的时候在火狐的firebug中发现一个问题:
Refused to display 'http://localhost:8080/xxx' in a frame because it set 'X-Frame-Options' to 'DENY'.
网上查询说是跨域问题;
问题就简单化了,
Redisson分布式锁实现分析
RedissonLock核心分析样例分析在分析RedissonLock前首先得大致了解下redis的lua脚本,以及执行lua脚本的方式,因为RedissonLock的核心代码就是lua脚本代码lua脚本样例:local times = redis.call('incr',KEYS[1])
if times == 1 then
redis.call('expire',KEYS[1], ARG
SocketIO protocol
Engine.IO ProtocolThis document describes the Engine.IO protocol. For a reference JavaScript
implementation, take a look at
engine.io-parser,
engine.io-client
and engine.io.RevisionThis is revisio
今日推荐
周排行