- 博客(29)
- 资源 (5)
- 收藏
- 关注
RSS订阅转载 跨站请求伪造CSRF
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.htmlCSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
2016-10-26 13:39:18
1366
转载 CSRF攻击与防御策略
CSRF攻击 目录 1 CSRF攻击简介 1 1.1 什么是CSRF 1 1.2 CSRF可以做什么 1 1.3 CSRF漏洞现状 1 2 CSRF的攻击原理 1 2.1 CSRF攻击原理 1 2.2 CSRF攻击实例 2 2.3 CSRF攻击对象 3 3 CSRF的防御策略 3 3.1 验证HTTP REFERER字段 3 3.2 请求中添
2016-10-20 11:05:52
1292
转载 CSRF进攻 (跨站域请求伪造)
CSRF 攻击的对象在讨论如何抵御 CSRF 之前,先要明确 CSRF 攻击的对象,也就是要保护的对象。从以上的例子可知,CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任,但是黑客并不能拿到 cookie,也看不到 cookie 的内容。另外,对于服务器返回的结果,由于浏览器同源策略的限制,黑客也无法进行解析。因此,黑客无法从返回的结果中得到任何东西,他所能做的就是给服务器
2016-10-19 16:30:20
727
转载 跨站点请求伪造解决方案
AppScan 跨站点请求伪造 Token近期通过APPScan扫描程序,发现了不少安全问题,通过大量查阅和尝试最终还是解决掉了,于是整理了一下方便查阅。前一篇博客介绍了启用了不安全的HTTP方法的解决方案,有兴趣请移步http://www.cnblogs.com/xlyslr/p/5707995.html。1.跨站点请求伪造首先,什么是
2016-10-19 16:28:53
2322
1
转载 【Spring MVC】教程——使用拦截器实现权限控制
目录(?)[+]之前一直都在用mvc的拦截器权限控制,后来上网也研究了一些这方面的知识,下面就直接分享下我对mvc的拦截器的理解,通过项目来分析吧。。。1、首先准备对应的架包2、看看项目的架构3、基本的web.xml文件[html] view plain copy xml version="1.0"
2016-10-19 15:18:06
5018
转载 浅谈CSRF攻击方式
一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取
2016-10-19 13:29:45
300
转载 spring-security中的csrf防御机制
目录(?)[+]什么是csrf?csrf又称跨域请求伪造,攻击方通过伪造用户请求访问受信任站点。CSRF这种攻击方式在2000年已经被国外的安全人员提出,但在国内,直到06年才开始被关注,08年,国内外的多个大型社区和交互网站分别爆出CSRF漏洞,如:NYTimes.com(纽约时报)、Metafilter(一个大型的BLOG网站),YouTube和百度HI......而现在,
2016-10-19 13:28:21
1642
转载 js 监听监键盘动作
主要分四个部分第一部分:浏览器的按键事件第二部分:兼容浏览器第三部分:代码实现和优化第四部分:总结 第一部分:浏览器的按键事件 用js实现键盘记录,要关注浏览器的三种按键事件类型,即keydown,keypress和keyup,它们分别对应onkeydown、 onkeypress和onkeyup这三个事件句柄。一个典型的按键会产生所有这三种事件,依次
2016-10-19 09:31:23
1206
转载 Struts2概述与MVC模式
truts分为两个主要版本,struts1和struts2,struts2是由webwork2发展而来的1、Framework概念:将相同类型问题的解决途径进行抽象,抽取成为一个应用框架。这就是Framework。Framework的体系提供了一套明确的机制,从而让开发人员很容易宽展和控制整个Framework开发上的结构;通常,Framework的结构中都有一个“命令和控制”组件
2016-10-13 14:13:33
3706
转载 (九)XML之DOM4J详解
DOM4J是JDOM项目的部分人员开发的另一个XML解析框架,与JDOM差不多。 创建XML文档并在命令行输出,同时输出为文件:[java] view plain copyimport java.io.FileOutputStream; import java.io.FileWriter; import java.io.I
2016-10-11 09:26:18
306
转载 (八)XML之JDOM详解
JDOM是一种使用 XML 的独特 Java 工具包,用于快速开发 XML 应用程序。它的设计包含 Java 语言的语法乃至语义。JAXP (用于 XML 语法分析的 Java API)包含了三个软件包–org.w3c.dom ,W3C 推荐的用于 XML 标准规划文档对象模型的 Java 工具–org.xml.sax ,用于对 XML 进行语法分析的事件驱动的简单 API–j
2016-10-11 09:24:15
378
转载 (七)XML Schema总结
简单类型1、简单元素:指只能包含文本内容,不能够包含子元素,也没有属性的元素。格式:例子:2、属性:所有的元素属性均被声明为简单类型。只有复杂类型的元素才可以拥有属性。格式:例子:所有的属性默认都是可选的,我们可以通过使用use关键字明确的指出是可选或是必需:找们可以通过使用default或fixed为简单类型(简单元素、属性)指定默认值或固定值,如
2016-10-11 09:23:25
418
转载 (六)使用SAX解析xml文档
SAX的全称是Simple APIs for XML,也即XML简单应用程序接口。使用DOM解析XML时,首先将XML文档加载到内存当中,然后可以通过随机的方式访问内存中的DOM树;SAX是基于事件而且是顺序执行的,一旦经过了某个元素,我们就没有办法再去访问他了,SAX不必事先将整个XML文档加载到内存中,因此它占据内存要比DOM小,对于大型的XML文档来说,通常会使用SAX而不是DOM进
2016-10-11 09:22:30
347
转载 (五)使用DOM解析XML文档
DOM:Document Object Model (文档对象模型)1、DOM与SAXW3C制定了一套书写XML分析器的标准接口规范--DOM。除此之外,XML_DEV邮件列表中的成员根据应用的需求也自发地定义了一套对XML文档进行操作的接口规范--SAX。这两种接口规范各有侧重,互有长短,应用都比较广泛。;XML应用程序不是直接对XML文档进行操作的,而是首先由XML分析器对XM
2016-10-11 09:21:40
730
转载 (四)XML设计模式——简单工厂模式
简单工厂模式是类的创建模式,又叫做静态工厂方法(Static Factory Method)模式。简单工厂模式是由一个工厂对象决定创建出那一种产品类的实例。通常它根据自变量的不同返回不同的类的实例;简单工厂模式的实质是由一个工厂类根据传入的参数,动态决定应该创建出哪一个产品类的实例。1、简单工厂模式的构成•工厂类(Creator)角色:担任这个角色的是简单工厂模式的核心,含有与应用紧密
2016-10-11 09:20:49
1342
转载 (三)XML之Schema
什么是SchemaXML Schema是用一套预先规定的XML元素和属性创建的,这些元素和属性定义了XML文档的结构和内容模式;XML Schema规定XML文档实例的结构和每个元素/属性的数据类型。Schema(模式):其作用与dtd一样,也是用于验证XML文档的有效性,只不过它提供了比dtd更强大的功能和更细粒度的数据类型,另外Schema还可以自定义数据类型。此外,Schema也是一
2016-10-11 09:19:57
462
转载 (二)XML之DTD文档
什么是DTD、为什么要用DTD?文档类型定义——Document Type Definition,DTD用来描述XML文档的结构,一个DTD文档包含:- 元素(ELEMENT)的定义规则- 元素之间的关系规则- 属性(ATTLIST)的定义规则- 可使用的实体(ENTITY)或符号(NOTATION)规则1、DTD文档与XML文档实例的关系:相当于类与对象或者数据库
2016-10-11 09:18:59
390
转载 (一)XML概述
eXtensible Markup language(XML——可扩展的标志语言)XML知识体系- XML语法规则- XML核心技术 - 文档描、验证、约束技术——DTD/Schema - 文档转换技术——XSL - 数据查询技术——XPath - 连接技术——XLink/XPointer - 编程接口——D
2016-10-11 09:17:10
354
转载 (七)freeMarker之XML处理
尽管FreeMarker最初被设计用作Web页面的模板引擎,对于2.3版本来说,它的另外一个应用领域目标是:转换XML到任意的文本输出(比如HTML)。因此,在很多情况下,FreeMarker也是一个可选的XSLT。从技术上来说,在转换XML文档上没有什么特别之处。它和你使用FreeMarker做其他事情都是一样的:你将XML文档丢到数据模型中(和其他可能的变量),然后你将FTL模板和数据模型
2016-10-11 09:15:06
9532
转载 (六)在servlet中使用FreeMarker
FreeMarker将输出内容写到你传递给Template.process方法的Writer对象中,它并不关心Writer对象将输出内容打印到控制台或是一个文件中,或是HttpServletResponse对象的输出流中。FreeMarker并不知道servlets和Web;它仅仅是使用模板文件来合并Java对象,之后从它们中间生成输出文本。 许多框架都是基于“Model 2
2016-10-11 09:13:24
1583
转载 (五)freemarker之配置
1、基本内容配置就是在对象中存储常用(应用级别)的设置和定义某些想在所有模板中可用的变量。它们也会处理Template实例的创建和缓存操作。配置对象是freemarker.template.Configuration的实例,可以通过构造方法来创建它。一个应用程序通常只使用一个共享的Configuration实例。配置对象通过Template的方法来使用,特别是通过process方法。每
2016-10-11 09:11:31
1439
转载 (四)freemarker程序开发
1、程序开发入门1.1 创建配置实例首先,你应该创建一个freemarker.template.Configuration的实例,然后调整它的设置。Configuration实例是存储FreeMarker应用级设置的核心部分。同时,它也处理创建和缓存预解析模板的工作。也许你只在应用(可能是servlet)生命周期的开始执行它一次:Configuration cfg
2016-10-11 09:10:28
567
转载 (三)freemarker模板开发 续
1、自定义指令自定义指令可以使用macro指令来定义,这是模板设计者所关心的内容。Java程序员若不想在模板中实现定义指令,而是在Java语言中实现指令的定义,这时可以使用freemarker.template.TemplateDirectiveModel类来扩展宏是有一个变量名的模板片段。你可以在模板中使用宏作为自定义指令,这样就能进行重复性的工作。例如,创建一个宏变量来打印
2016-10-11 09:09:12
528
转载 (二)FreeMarker模板开发
1、模板开发入门1)、模板的引入假设在一个在线商店的应用系统中需要一个HTML页面,和下面这个页面类似:Welcome!Welcome Big Joe!Our latest product:products/greenmouse.html">green mouse!对于用户、最新产品的URL和名称,不能使用静态的HTML代
2016-10-11 09:07:04
1231
转载 (一)freemarker入门
什么是FreeMarker?FreeMarker是一款模板引擎:即一种基于模板、用来生成输出文本的通用工具。它是为Java程序员提供的一个开发包,或者说是一个类库。FreeMarker实际上是被设计用来生成HTML页面,尤其是通过实现了基于MVC(Model View Controller,模型-视图-控制器)模式的Java Servlet应用程序。使用MVC模式的动态页面的设计构思使
2016-10-11 09:05:28
341
转载 FreeMarker基本语法知识
FreeMarker的模板文件并不比HTML页面复杂多少,FreeMarker模板文件主要由如下4个部分组成:1,文本:直接输出的部分2,注释:格式部分,不会输出3,插值:即${...}或#{...}格式的部分,将使用数据模型中的部分替代输出4,FTL指令:FreeMarker指定,和HTML标记类似,名字前加#予以区分,不会输出下面是一个FreeMarker模板的例子,包
2016-10-11 09:02:20
470
转载 Freemarker网站静态化的实现
整个网站用struts2 + spring + hibernate + freemarker + urlrewrite完成。首页纯静态化,频道及其他页面通过urlrewrite伪静态。现在废话少说。我先给出首页jsp body源代码:Java code?12345678910
2016-10-11 08:57:29
496
转载 Freemarker 调用Java静态方法
Accessing static methods The TemplateHashModel returned from BeansWrapper.getStaticModels() can be used to create hash models for accessing static methods and fields of an arbitrary class.
2016-10-11 08:54:17
1529
转载 freemarker语法
一、常用语法 EG.一个对象BOOK 1、输出 $...{book.name} 2、空值判断:$...{book.name?if_exists }, $...{book.name?default(‘xxx’)}//默认值xxx $...{ book.name!"xxx"}//默认值xxx
2016-10-11 08:52:52
426
POI_3.8_API
2017-05-12
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人