随笔分类 - 【08】原创文章
temporary label
摘要:Abstract: 在 remoting-servlet.xml 文件的第 11 行,应用程序会以远程服务的形式暴露 spring bean。默认情况下,这些远程服务不要求身份验证,也不要求进出该服务器的信息必须是明文形式。这就使攻击者有机会访问需要特定权限的操作或者获取敏感数据。 Explanat
阅读全文
摘要:Abstract: Channel.java 中的类既是数据库持久实体,又是动态绑定请求对象。如果允许使用请求参数自动填充数据库持久实体,攻击者将能够在关联实体中创建计划外的数据库记录,或者更新实体对象中的计划外字段。 Explanation: 持久对象通常绑定到底层数据库,并由持久性框架(如 Hi
阅读全文
摘要:Abstract: Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。 Explanation: 请勿对加密密钥进行硬编码,因为这样所有项目开发人员都能查看该加密密钥,而且还会大大增加解决问题的难度。一旦代码被使用,除非对软件进行修补,否则加密密钥将再也不能更改。如果
阅读全文
摘要:Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创
阅读全文
摘要:Abstract: ext-all-debug.js 文件将未验证的用户输入解析为第 11304 行的源代码。在运行时中解析用户控制的指令,会让攻击者有机会执行恶意代码。 Explanation: 许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认
阅读全文
摘要:Abstract: article_attrs.jsp 中的方法 _jspService() 向第 79 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖
阅读全文
摘要:Abstract: article_property.jsp 中的方法 _jspService() 向第 151 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个
阅读全文
摘要:Abstract: jsmind.js 中的方法 onreadystatechange() 向第 781 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖
阅读全文
摘要:Docker完整的三种部署方式说明,及 Docker异常说明:/lib/x86_64-linux-gnu/libnss_files.so.2: symbol __libc_readline_unlocked, version GLIBC_PRIVATE not defined in file libc.so.6 with link time reference
阅读全文
摘要:谈一谈Tomcat中webSocket,Jetty WebSocket 和Spring WebSocket以及github中Java-WebSocket.jar分别对Socket协议的角色定位以及效果的不同点;
阅读全文
摘要:点击返回上层目录 原创声明:作者:Arnold.zhao 博客园地址:https://www.cnblogs.com/zh94 原文来自于楼主印象笔记,点击查看原文 gc.log 354.2 KB 对于对应用的监控上可以使用Jdk自带的VisualVM来做可视化监控,可以查看当前服务应用进程的堆大小
阅读全文
摘要:原文内容来自于LZ(楼主)的印象笔记,如出现排版异常或图片丢失等问题,可查看当前链接:https://app.yinxiang.com/fx/78afef8c-159c-4f1b-8a77-44469fc0a665 JVM常用的回收算法是: 标记/清除算法 标记/复制算法 标记/整理算法 其中上诉三
阅读全文
摘要:原文内容来自于LZ(楼主)的印象笔记,如出现排版异常或图片丢失等问题,可查看当前链接:https://app.yinxiang.com/fx/15979358-5f36-434a-893d-65d1bb1e4737 java虚拟机的内存区域分配 在JVM运行时,类加载器ClassLoader在加载到
阅读全文
摘要:此处做一下小的汇总,针对Jetty容器内,存在excel的xlsx文件直接通过链接的方式下载的时候,如果是在Chrome浏览器时,则直接触发浏览器的下载行为,但是在IE11的浏览器上,则浏览器会直接进行打开该文件,重点是浏览器进行打开该文件的时候,打开后必然是乱码的,这中情况必然是错误的,但是如果是
阅读全文
摘要:smart-sh-mybatis项目app.xml文件中此处配置为: 1 <!-- 从整合包里找,org.mybatis:mybatis-spring:1.2.4 --> 2 <!-- sqlSessionFactory --> 3 <bean id="sqlSessionFactory" clas
阅读全文
摘要:随机分配,hash一致性分配,最小连接数分配,主备分配 随机,轮训,一致性哈希,主备,https://blog.csdn.net/liu88010988/article/details/51547416最小链接数分配,类似于 (第三方负载策略,fair,根据响应时间短的优先分配,https://bl
阅读全文
摘要:setInterval和setTimeout的区别简单提一下 setInterval() :按照指定的周期(以毫秒计)来调用函数或计算表达式。方法会不停地调用函数,直到 clearInterval() 被调用或窗口被关闭。 setTimeout() :在指定的毫秒数后调用函数或计算表达式。 setI
阅读全文
摘要:Company最近项目中使用了两个模板引擎,分别是Java服务器端的模板引擎Thymeleaf和前端的模板引擎artTemplate, 其实对于这两个模板引擎 理论上应该是不应该放在一起记录的,但是but刚好是同时了接和学习了这两个模板引擎,就 刚好同时放在一起同时记录一下,因为两个模板引擎中所对应
阅读全文
摘要:简单来说artTeymplate就是一个(把以前你通过字符串拼接,再用 js append 到 dom 然后再填充数据的方式转变为另外一种便于阅读,代码优雅,性能更快的模板引擎。这句话似乎解释的更加通俗易懂一些。) 简单记录一些介绍artTemeplate的很不错的网站, 首先简单说一下artTem
阅读全文
摘要:(随手记录的,,可能没那么易看,sorry le) 先大概介绍一下关于Thymeleaf的概念和理解:首先Thymeleaf模板引擎(换句话说他是现代服务器端的Java模板引擎,) 他所对应的主要作用(因为也是刚刚了接所以可能不会介绍的很周全),其实无非也就和之前所对应的jsp的作用方式是类似的,
阅读全文
