- 博客(26)
- 收藏
- 关注
RSS订阅转载 HTML5安全攻防详析之八:Web Socket攻击
HTML5限制了Web Socket可以使用的端口,但是,它可能会成为攻击者的载体。想象你打开一个页面,这个页面打开Socket连接并且执行一个内部IP地址的端口扫描。如果端口扫描发现了内部网络上发现了一个开启的80端口,一个隧道就可能通过你的浏览器建立。这样做会实际上最终绕过防火墙,并且允许访问内部内容。HTML5的最好的功能之一WebSocket允许浏览器打开到特定IP目标端口的...
2015-11-24 13:24:00
171
转载 HTML5安全攻防详析之七:新标签攻击
HTML5引入的新标签有一些有趣的属性,例如poster、autofocus、onerror、formaction、oninput,这些属性都可以用来执行javascript。这会导致XSS和CSRF跨域请求伪造。HTML5去掉了很多过时的标签,例如<center>和<frameset>,同时又引入了许多有趣的新标签,例如<video>和<a...
2015-11-24 13:21:00
111
转载 HTML5安全风险详析之六:API攻击
HTML5里有许多协议、模式和API,可能成为攻击者的攻击途径一、registerProtocolHandler:信息泄漏HTML5允许某些协议和schema注册为新的特性。例如下面的语句可以注册一个email handler。01.navigator.registerProtocolHandler(“mailto”,“http://www.f.com/?uri=%s",...
2015-11-24 13:18:00
240
转载 HTML5安全风险详析之五:劫持攻击
本文我们要讲到一类的HTML5安全问题,也就是劫持的问题。下面我们要讲到一类的HTML5安全问题,也就是劫持的问题。一、ClickJacking-点击劫持这种攻击方式正变得越来越普遍。被攻击的页面作为iframe,用Mask的方式设置为透明放在上层,恶意代码偷偷地放在后面的页面中,使得一个页面看起来似乎是安全的,然后诱骗用户点击网页上的内容,达到窃取用户信息或者劫持用户操作的...
2015-11-24 13:14:00
149
转载 HTML5安全风险详析之四:Web Worker攻击
一、WebWorker介绍由于Javascript是单线程执行的,在执行过程中浏览器不能执行其它Javascript脚本,UI渲染线程也会被挂起,从而导致浏览器进入僵死状态。使用WebWorker可以将计算过程放入一个新线程里去执行将避免这种情况的出现。这样我们可以同时执行多个JS任务而不会阻塞浏览器,非常适合异步交互和大规模计算,这在以前是很难做到的。下面一张图形象的揭示了We...
2015-11-24 13:09:00
87
转载 HTML5安全风险详析之三:WebSQL攻击
一、WebSQL安全风险简介数据库安全一直是后端人员广泛关注和需要预防的问题。但是自从HTML5引入本地数据库和WebSQL之后,前端开发对于数据库的安全也必须要有所了解和警惕。WebSQL的安全问题通常表现为两个部分:第一种是SQL注入:和本地数据库一样,攻击者可以通过SQL注入点来进行数据库攻击。另外一方面,如果Web App有XSS漏洞,那么本地数据很容易泄漏,可以想想...
2015-11-24 13:04:00
62
转载 HTML5安全风险详析之二:Web Storage攻击
HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用的信息。例如LocalStorage可以长期存储,而且存放空间很大,一般是5M,极大的解决了之前只能用Cookie来存储数据的容量小、存取不便、容易被清除的问题。这个功能为客户端提供了极大的灵活性。一、WebStorage简介HTML5支持WebStorage,开发者可以为应用创建本地存储,存储一些有用...
2015-11-24 12:59:00
100
转载 HTML5安全风险详析之一:CORS攻击
CORS-CrossOrigin Resources Sharing,也即跨源资源共享,它定义了一种浏览器和服务器交互的方式来确定是否允许跨域请求。它是一个妥协,有更大的灵活性,但比起简单地允许所有这些的要求来说更加安全。简言之,CORS就是为了让AJAX可以实现可控的跨域访问而生的。一、从SOP到CORSSOP就是Same Origin Policy同源策略,指一个域的文档...
2015-11-24 12:55:00
94
转载 WebSphere 更新应用后请求静态资源出现 503 错误
系统环境:WebSphere 6.1.0.25 Network Deployment, 有集群,前端用IBM Http Server Plugin事情是这样的,由于本集群上有多个应用,所以在更新应用时不可以重启App Server。同时,在集群环境中,如果直接更新应用,会自动触发WAS集群中的App Server重启。所以我们更新应用的习惯是,先停止应用,再卸载,然后再部署新的...
2014-11-28 14:51:00
426
转载 Spring MVC(一)
The figure below shows the flow of request in the Spring MVC Framework.When a request is sent to the Spring MVC Framework the following sequence of events happen.TheDispatcherServletfir...
2014-07-01 13:01:00
83
转载 设计模式-观察者模式(Observer Pattern)
今天看了看观察者模式,有点小小的体会,从以下3点说明之 :1.看一下经典的观察者模式图2.讲个故事,说一下逻辑有一个男人(Subject),他通过一定的手段(attach)拥有了3个女人(Observer):老婆(concreteObserver1),情人(concreteObserver2),小3(concreteObserver3).这3个女人都不知情,但是都想知道男...
2014-06-08 10:55:00
79
转载 UML 基础: 类图
简介:来自Rational Edge:在 UML 2 中,作为新结构图类型的最重要实例,类图可以在整个软件开发生命周期中,被分析师,业务建模人员,开发者和测试者使用的。本文提供了全面的介绍。这是关于统一建模语言、即UML 里采用的基本图的一系列文章的一部分。在我 先前关于序列图的文章 里,我把重点从 UML 1.4 版,转移到 OMG的采用UML 2.0版草案规范(又称为UML ...
2014-04-14 23:18:00
136
转载 使用 JSLint 保证 JavaScript 代码质量
随着富 Web 前端应用的出现,开发人员不得不重新审视并重视 JavaScript 语言的能力和使用,抛弃过去那种只靠“复制 / 粘贴”常用脚本完成简单前端任务的模式。JavaScript 语言本身是一种弱类型脚本语言,具有相对于 C++ 或 Java 语言更为松散的限制,一切以函数为中心的函数式编程思想也为开发人员提供了更加灵活的语法实现。然而,这种灵活性在带来高效的同时,也成为初学或...
2014-04-12 22:38:00
82
转载 js,css压缩入门
序:最近接触电商项目,当项目逐渐壮大的时候,前端的请求加载流量也逐渐的上升。js,css压缩就提上了日程。一、知识储备:1.YUI COMPRESSORhttp://yui.github.io/yuicompressor/2.ANThttp://ant.apache.org/二、实现概要1.下载 YUI compressor 的jar包,放到工程lib目录下...
2014-04-09 22:48:00
71
转载 Thinking in java读后感
之前都是认为think in java,就是思考java的意思。今天看到书名的时候,thinking in java ,体会到一种新的味道--使用 java的方式思考。感到境界的一种提升,由讲java是什么 到 讲java的故事。1.Thinking of an object as a service provider has an additional benefit: It ...
2014-04-08 11:20:00
80
转载 java编码中需要注意的一些点
目录1.List add()与addAll()2.map遍历效率比较1.List add()与addAll() Collection result = new ArrayList(); Collection list = new ArrayList(); result.addAll(list);...
2014-01-17 12:59:00
68
转载 eclipse主题
1.Go your own way;let others talk! 走自己的路,让别人说去吧。 ECLIPSE设置运行JDK路径,不依赖系统环境变量JDK设置。 eclipse.ini文件开始增加两行 -vm D:\Program files\Java\jdk1.7.0_05\bin转载于:https://www.cnblogs.com/mayt-/...
2013-12-16 11:00:00
56
转载 权限设计图(截)
偶然获得一张权限设计图,马上收之。转载于:https://www.cnblogs.com/mayt-/p/3470801.html
2013-12-12 11:35:00
116
转载 DB2,Oracle数据库SQL比较
项目上DB2和Oracle数据库使用的比较多,所以sql语句要经常检查在两种数据库上的正确性。现小结一下:--获取前8行数据DB2:SELECT * FROM TABLE_NAME FETCH FIRST 8 ROWS ONLY;ORACLE:SELECT * FROM TABLE_NAME WHERE ROWNUM <= 8;--获取当前时间DB2:SELEC...
2013-12-11 16:58:00
92
转载 计算机端口简介
1 tcpmux TCP Port Service Multiplexer传输控制协议端口服务多路开关选择器2 compressnet Management Utility compressnet 管理实用程序3 compressnet Compression Process 压缩进程5 rje Remote Job Entry 远程作业登录7 ...
2013-12-06 16:22:00
1771
转载 HTTP Content-type
文件扩展名Content-Type(Mime-Type)文件扩展名Content-Type(Mime-Type).*( 二进制流,不知道下载文件类型)application/octet-stream.tifimage/tiff.001application/x-001.301appli...
2013-12-01 18:45:00
72
转载 JDBC获取数据库信息
当同一个项目部署到不同数据库环境时,程序中涉及sql语句执行时,由于各种数据库的差异,可能会产生异常。则就需要获取数据库信息做适当处理。 1 public class DBUtils { 2 private static Log logger = LogFactory.getLog(DBUtils.class); 3 4 private st...
2013-11-27 13:42:00
118
转载 时间简码-java
java里的时间类是比较简单的,如果没有对时间相关类总结学习过,有些需求或许不能立即写出来。现做几个简单的时间编码方法,供以后参考查阅。 1 //获取距离当天前三个月的日期 2 { 3 Calendar calendar = Calendar.getInstance(); 4 calendar.add(Calendar.MONTH, -3); 5 ...
2013-11-26 15:27:00
79
转载 关系数据库范式
1 第一范式(1NF)表的每一列都是不可分割的基本数据项,同一列中不能有多个值。表的每一行只包含一个实例的信息。2 第二范式(2NF)先满足第一范式(1NF)。表中的每个实例或行必须可以被唯一地区分。实体的属性完全依赖于主关键字。3 第三范式(3NF)先满足第二范式(2NF)。表中不包含已在其它表中已包含的非主关键字信息。4...
2013-05-18 11:21:00
102
转载 oracle导入dmp示例
1. 启动SQL*Plus2. 以system/manager登陆3. create useradmin IDENTIFIED BYadmin (如果已经创建过用户,这步可以省略)4. GRANT CREATE USER,DROP USER,ALTER USER ,CREATE ANY VIEW ,DROP ANY VIEW,EXP_FULL_DATABASE...
2012-08-17 09:17:00
76
转载 编写脚本启动windows服务
系统每次开机总是会启动很多服务,而有些服务并不是必须的,只是在用到的时候才需要启动。但是每次通过“控制面板.管理工具.服务”去一个一个启动服务很不爽,于是就想写一个批处理命令一次启动多个服务。利用Windows提供的net start命令可以完成该项工作。在命令行中输入下面的命令即可启动相应服务:---------------------------------...
2012-08-15 09:14:00
184
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人