![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
JavaWeb
文章平均质量分 71
偷偷学习被我发现
记录个人点滴
展开
-
使用natapp进行前后端远程联调
近期,和几个朋友业余搞点原创科技项目来玩玩,因为都是线上沟通,和远程开发,前后端联调不在一个局域网内,开发时,前后端相关人员都是居家远程联调,这边采用的简单的解决方案:隧道技术+内网穿透,简单处理了。记录一下话不多说,这边我用的工具是:natapp。会有的朋友可以直接跳过了首先,去官网注册一下,免费的注册完后,这边相关法律规定,需要实名免费购买隧道配置你映射到你本地的端口确定你本地的服务的正常运作的下载客户端到本地找你对应的版本在natapp.exe同级目录下新建config.ini。原创 2023-04-25 15:06:14 · 1125 阅读 · 2 评论 -
如何绕过 Web 应用程序防火墙(WAF)之通配符
在 Web 应用程序中发现远程命令执行漏洞并不罕见,「OWASP Top 10 2017」榜单中,把“注入”放在第一位,就可见一斑:当攻击者把作为命令或查询的不可信数据发送给解释器时,会产生注入漏洞,如 SQL,NoSQL,OS 和 LDAP 注入。攻击者的数据可能会诱使解释器执行意外的命令或在没有授权的情况下访问数据。所有现代 Web 应用防火墙都能拦截 RCE 尝试,但是当它发生在 Lin...转载 2020-03-17 00:58:28 · 1923 阅读 · 0 评论 -
RequestContextHolder的简单使用&&RequestContextHolder源码简单解析&&processRequest源码简单解析
RequestContextHolder持有上下文的Request容器,可以通过RequestContextHolder的静态方法getRequestAttributes()获取Request相关的变量,如request, response等。RequestAttributes ra = RequestContextHolder.getRequestAttributes();HttpServl...原创 2020-03-09 20:41:56 · 648 阅读 · 0 评论 -
HttpRequest中getRequestURL()&&getRequestURI()&&getContextPath()&&getServletPath()&&getQueryString()
request.getRequestURL() 返回全路径request.getRequestURI() 返回除去host(域名或者ip)部分的路径request.getContextPath() 返回工程名部分,如果工程映射为/,此处返回则为空request.getServletPath() 返回除去host和工程名部分的路径 String queryString = reque...原创 2020-03-08 17:15:25 · 510 阅读 · 0 评论 -
安全漏洞 点击劫持:X-Frame-Options未配置
最近安全检测有遇到点击劫持:X-Frame-Options未配置,这个危险漏洞;这让我想起我曾经写过的一篇博客同源策略就是利用这个原理的;同源策略在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的这里不谈原理,原理就是利用同源策略机制进...原创 2020-01-06 01:19:28 · 2124 阅读 · 1 评论 -
安全检测:会话cookie中缺少HttpOnly属性
安全测试时,有时会检查出检测到会话cookie中缺少HttpOnly属性;刚开始听到,就觉得怎么HttpOnly怎么这么耳熟,想了想,cookie中缺少HttpOnly,别人就可以进行XSS攻击,就是跨站脚本攻击,然后了?也许我看过,但我又给忘,好气啊,学艺不精,菜的真实,赶紧百度一下,这次记录一下,等等,貌似我以前有篇博客里有提到HttpOnly,我靠,突然嫌弃自己。什么是HttpOnly?...原创 2020-01-02 00:36:10 · 6136 阅读 · 1 评论 -
Servlet运行原理以及生命周期
一、Servlet生命周期:Servlet加载、实例化、初始化、服务、销毁。1、初始化init():当服务启动时,Servlet被装入tomcat或者其他服务器容器时执行(服务器容器从启动到停止期间唯一的一次)init()初始化方法,负责初始化Servlet对象,无论有多少个请求访问Servlet,初始化init()只会启动一次,不会重复执行。2、服务service:服务servic...原创 2019-07-16 22:19:27 · 384 阅读 · 1 评论 -
Session和Cookie
Session和Cookie一、对Session和Cookie了解Http是一种无状态的协议,每一次请求都是独立的,那么对于客户端和服务器而言,这种无状态和独立在需要传输数据和保持某种状态时,就会需要到一种东西对传输过来的数据和需要保持的状态进行保存,提高web的交互能力。Cookie采用的是在客户端对数据进行保存和对状态进行保持,这种在客户端存储信息的方式十分不安全,因为在每个客户端(可以...原创 2019-07-16 22:12:51 · 117 阅读 · 0 评论 -
客服端重定向和服务器重定向
客服端重定向和服务器重定向一、服务器重定向服务器重定向(内部跳转、服务器跳转),客户端只发送了一次请求(客户端只产生了一次请求),服务器接收到该条请求后,服务器可以这一次请求的目的来在服务内部进行多次跳转,因为客户端只发送了一次请求,在该次访问过程中来自外部的请求有且只有一请求进入了内部,所以服务器重定向在客户端(浏览器)的URL地址栏上是没有发生变化的。从客户端到服务端,对于服务端来说进...原创 2019-07-16 22:11:17 · 554 阅读 · 0 评论 -
JavaWeb三大组件
一、JavaWeb三大组件Servlet,Listener,Filter.它们在JavaWeb开发中分别提供不同的功能.JavaWeb三大组件都必须在Web.xml中配置二、三大组件1、ServletServlet的作用是处理请求,服务器会把接收到的请求交给Servlet来处理,在Servlet中通常需要:Tomcat服务器会帮助我们将请求的数据封装在request对象Tomcat...原创 2019-07-16 22:09:10 · 340 阅读 · 0 评论 -
HTTP简单解析
一、简介HTTP是一种基于TCP/IP的超文本传输协议,用于从WWW服务器传输超文本到本地浏览器。HTTP是一种基于客户端/服务器(C/S架构)的无状态、无连接、媒体独立的传输协议。HTTP是一个应用层协议,由请求和响应构成,是一个标准的客户端服务器模型。HTTP是一个无状态的协议。(1)HTTP是无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后...原创 2019-07-16 22:06:29 · 267 阅读 · 0 评论 -
JSP页面静态包含和动态包含的区别与联系
---恢复内容开始---JSP页面静态包含和动态包含的区别与联系:1、<%@ include file=” ” %> 是指令元素,<jsp:include page=” ”/> 是行为元素。2、静态包含:语法:<%@ include file=” ” %>,包含文件先是要直接复制一份内容到主体页面内,然后被包含的内容一起和主体转换成.class文件。只出...原创 2019-07-16 22:03:25 · 651 阅读 · 0 评论 -
JAVA监听器Listener
JAVA监听器Listener一、 简介监听器用于对web中内置对象的状态或者属性变化进行监听并做出相应响应的一种Servlet;在内置对象的生命周期中,产生、销毁等状态发生变化时,监听器就会进行监听并做出响应,当内置对象的属性发生增加,删除,修改等变化时,监听器也会做出相应响应。二、 分类ServletContext对象监听器HttpSession对象监听器ServletReques...原创 2019-07-16 22:02:43 · 229 阅读 · 0 评论 -
Java过滤器Filter
过滤器一、 简介过滤器一般用于设置字符编码、登录验证、权限验证、敏感词过滤等,减少了代码的冗余,便于代码的复用,但是不一定是每个servlet都必须使用过滤器的。二、 过滤器的工作流程图片来源于:https://www.cnblogs.com/ygj0930/p/6374212.html在浏览器发送请求到服务器过程中,进行过滤,过滤器在请求进入servlet、jsp、action、等资...原创 2019-07-16 22:01:33 · 173 阅读 · 0 评论 -
初步认识AJAX中的XMLHttpResquest
Ajax是多种技术的综合:Javascript、Html、Css、Dom、Xml、XMLHttpRequest等技术按照一定的方式在协作中发挥各自的作用就构成了Ajax。XMLHttpRequest是Ajax技术的一个核心,没有它Ajax无从运作。XMLHttpRequest:XMLHttpRequest是XMLHttp组件的一个对象,使用XMLHttpRequest可以实现浏览器端与服务器端...原创 2019-07-16 21:58:51 · 400 阅读 · 0 评论 -
ajax跨域以及同源策略
一、同源策略在不同的URL中,如果协议、域名、端口相同,那么这些URL则为同源,如果协议、域名、端口其中有一项不同,与路径不同无关,则为不同源,不同源的URL发送请求则为跨域请求。在浏览器中跨域采用同源策略,除非JS的<script>、图片的<img>、前端框架<iframe>、css的外部样式<link>等,可以发现这些不受同源策略的限制可以加载...原创 2019-07-16 21:59:57 · 585 阅读 · 0 评论