博文视点（北京）官方博客

摘要： IIS 7.0与ASP.NETIIS 7.0在请求的监听和分发机制上又进行了革新性的改进，主要体现在对于Windows进程激活服务（Windows Process Activation Service，WAS）的引入，将原来（IIS 6.0）W3SVC承载的部分功能分流给了WAS。通过上面的介绍，我们知道对于IIS 6.0来说W3SVC主要承载着3大功能。HTTP请求接收：接收HTTP.SYS监听到的HTTP请求。配置管理：从元数据库（Metabase）中加载配置信息对相关组件进行配置。进程管理：创建、回收、监控工作进程。IIS 7.0将后两组功能实现到了WAS中，接收HTTP请求的任务依然落 阅读全文

摘要： Controller的激活与URL路由ASP.NET路由系统是HTTP请求抵达服务端的第一道屏障，它根据注册的路由规则对拦截的请求进行匹配并解析包含目标Controller和Action名称的路由信息。而当前ControllerBuilder具有用于激活Controller对象的ControllerFactory，现在看看两者是如何结合起来的。通过第2章“URL路由”的介绍我们知道，ASP.NET路由系统的核心是一个叫做UrlRoutingModule的HttpModule，路由的实现是它通过注册代表HttpApplication的PostResolveRequestCache事件对HttpH 阅读全文

摘要： 使用Ext.grid.Panel显示远程数据对于Ext.grid.Panel而言，它只是负责显示Store数组中心的数据，至于Store保存的数据到底是浏览器本地数据，还是远程服务器的数据，Ext.grid.Panel并不关心。因此，使用Ext.grid.Panel显示远程数据也非常简单，只要在配置Ext.data.Store时通过proxy选项指定加载远程服务器数据即可。如下示例示范了使用Ext.data.Store来加载远程服务器数据，使用Ext.grid.Panel显示Store所加载的远程数据。程序清单：codes\06\6.8\Ext.grid\Ext.grid.Panel_remo 阅读全文

摘要： 使用Ext.grid.Panel生成表格Ext.grid.Panel继承了Ext.panel.Panel，因此它的很多地方都类似于Ext.panel.Panel，但定义Ext.grid.Panel时必须指定如下两个选项。Ø store：该选项指定的Store对象负责为该表格提供数据。Ø columns：指定Ext.grid.column.Column数组或一个包含items属性（该属性值为Ext.grid.column.Column数组）的对象，该Ext.grid.column.Column数组指定Ext.grid.Panel生成的表格包含的所有列。如下代码示范了如何使用E 阅读全文

摘要： 使用Ext.grid.column.Column定义列正如从前面的示例中看到的，创建Ext.grid.Panel时，必须指定columns选项，该选项要么是Ext.grid.column.Column数组，要么是JavaScript对象，该对象中必须包含一个items属性，该属性值依然是Ext.grid.column.Column数组——总之，定义Ext.grid.Panel时，必须传入Ext.grid.column.Column数组来定义各数据列。使用Ext.grid.column.Column定义列定义可以指定如下常用选项。Ø text：指定该列的列名。Ø sortab 阅读全文

摘要： 开发动态编辑的表格Ext JS在Ext.grid.plugin包下提供了允许编辑表格的插件功能，该包下提供了如下3个与表格编辑有关的类。Ø Ext.grid.plugin.Editing：为表格增加编辑功能的基类。Ø Ext.grid.plugin.RowEditing：为表格行增加编辑功能的插件类。Ø Ext.grid.plugin.CellEditing：为单元格增加编辑功能的插件类。当使用Ext.grid.plugin.RowEditing、Ext.grid.plugin.CellEditing为表格增加编辑时，可以指定如下4种常见的事件处理函数。Ø 阅读全文

摘要： XSF即Cross Site Flash。很多网站的Flash播放器都会有XSF风险，因为这些播放器需要能够灵活加载第三方Flash资源进行播放。不过这样的XSF风险其实非常小，因为浏览器直接访问Flash文件时，安全沙箱的限制是很严格的。所以，下面分析的nxtv flash player只需了解思路即可，这样的XSF漏洞在这样的场景下毫无价值，有价值的是思路。漏洞文件：http://video.nxtv.cn/flashapp/player.swf分析方法分为静态分析和动态分析。1．静态分析我们可以使用SWFScan图形化界面或者用swfdump命令行工具进行反编译得到ActionScrip 阅读全文

摘要： 浏览器的同源策略古代的楚河汉界明确规定了楚汉两军的活动界限，理应遵守，否则必天下大乱，而事实上天下曾大乱后又统一。这里我们不用管这些“分久必合，合久必分”的问题，关键是看到这里规定的“界限”。Web世界之所以能如此美好地呈现在我们面前，多亏了浏览器的功劳，不过浏览器不是一个花瓶——只负责呈现，它还制定了一些安全策略，这些安全策略有效地保障了用户计算机的本地安全与Web安全。注：计算机的本地与Web是不同的层面，Web世界（通常称为Internet域）运行在浏览器上，而被限制了直接进行本地数据（通常称为本地域）的读写。同源策略是众多安全策略的一个，是Web层面上的策略，非常重要，如果少了同源策略 阅读全文

摘要： Cookie安全Cookie是一个神奇的机制，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添加、修改和删除Cookie，大多数情况下，客户端通过JavaScript也可以添加、修改和删除Cookie。由于这样的机制，Cookie经常被用来存储用户的会话信息，比如，用户登录认证后的Session，之后同域内发出的请求都会带上认证后的会话信息，非常方便。所以，攻击者就特别喜欢盗取Cookie，这相当于盗取了在目标网站上的用户权限。Cookie的重要字段如下：[name][va 阅读全文

摘要： 6.6.2 常见的并发网络服务程序设计方案W. Richard Stevens 的《UNIX 网络编程（第2 版）》第27 章“Client-ServerDesign Alternatives”介绍了十来种当时（20 世纪90 年代末）流行的编写并发网络程序的方案。[UNP] 第3 版第30 章，内容未变，还是这几种。以下简称UNP CSDA方案。[UNP] 这本书主要讲解阻塞式网络编程，在非阻塞方面着墨不多，仅有一章。正确使用non-blocking IO 需要考虑的问题很多，不适宜直接调用Sockets API，而需要一个功能完善的网络库支撑。随着2000 年前后第一次互联网浪潮的兴起，业 阅读全文