- 博客(35)
- 资源 (6)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 Fotify扫描结果Open Redirection解决方案
URL任意跳转漏洞,又叫开放重定向漏洞,是一种常见的安全漏洞。当访问时用widow.href或者window.localtion指定跳转地址时,会报此漏洞。 网上的解决方案大致分为两种。 方法一:种是对跳转URL进行加密,使用方法 function validateURL(surl) { var url = parseURL(surl);...
2024-08-12 21:14:00
168
原创 Fotify扫描问题Dynamic Code Evaluation:Code Injection
在使用fotify代码扫描时,程序中JavaScript 的 eval() 函数使用的地方会报Dynamic Code Evaluation:Code Injection,解释为动态代码评估、代码注入,Web 开发中。这两种风险都可能导致严重的安全问题. 其安全问题大致描述为1、动态执行的代码可能会包含恶意代码,导致安全漏洞。2、代码注入,通过各种方式注入恶意代码,这些代码可能会执...
2024-07-31 10:55:00
470
原创 Spring bean注入问题:NoUniqueBeanDefinitionException解决方案归纳
引言 spring实现的bean自动注入在项目开发中是一个经常使用到的功能,但自动装配两个或多个bean时,会抛出NoUniqueBeanDefinitionException:No qualifying bean of type 'com' available: expected single matching bean but found 2异常。最常见的现象就是一个接口有两个实现类...
2023-01-05 14:44:00
1426
原创 This class is not trusted to be serialized as ObjectMessage payload.ActiveMQ序列化设置
引子 ObjectMessage引入的生产者和消费者之间的类路径耦合,ActiveMQ支持他们作为JMS规范的一部分。 ObjectMessage对象依赖marshal/unmarshal进行java序列化,这个过程是不安全的,因为会被恶意利用。从5.12.2和5.13.0开始,ActiveMQ强制用户将ObjectMessages交换的包列入白名单。如果不根据规范进行相应的设置,则会抛出异...
2022-11-02 10:39:00
543
原创 org.xml.sax.SAXNotRecognizedException: SAX feature 'http://apache.org/xml/features/allow-java-encodi...
tomcat启动服务后,解析xml等文件会报错org.xml.sax.SAXNotRecognizedException: SAX feature 'http://apache.org/xml/features/allow-java-encodings' not recognized.项目资源无法加载,具体发现此问题是在读取环境中的文件时,会报错如下内容javax.xml.transfo...
2022-11-01 17:35:00
1145
原创 《隐入尘烟》-我眼中的年度最佳
《隐入尘烟》无疑是一部不可多得的佳作。然而,正是这样的佳作,票房却比不上那些烂俗的电影,那些烂俗甚至空洞的电影票房动辄上亿甚至几十亿,却是最有市场的最叫座的。 故事发生在西北的一个农村,马家兄弟四人,马有金、马有银、马有铜、马有铁,现如今只剩下了有铜、有铁兄弟俩。有铁孤身一人,因为在家中排行老四,也被唤作马老四,老四寄居在有铜家里,做牛做马的付出了大半生,终于让三哥住上了光亮宽敞的新房...
2022-08-30 11:32:00
233
原创 从XXE漏洞修复引起Not supported: http://javax.xml.XMLConstants/property/accessExternalDTD说到SPI机制...
引子 在使用Fortify扫描时代码报XML External Entity Injection,此漏洞为xml实体注入漏洞,XXE攻击可利用在处理时动态构建文档的 XML 功能。修复方案也包含了增加安全配置,使它不允许将外部实体包含在传入的 XML 文档中。 具体在修复过程中,代码在解析drools的transfer.xls时,调用代码中增加内容,包括serFeature和set...
2022-08-18 15:14:00
1607
5
原创 Cross Site Scripting DOM (XSS) 攻击jQuery append() 的处理方法
做安全红线使用Fortify工具进行扫描时,jquery append会报Cross Site Scripting DOM风险。解决该问题有两种办法。一、原生dom方式使用JavaScript原生dom替换append方法,原生dom会忽略<script>标签。比如,下列代码就会报Cross Site Scripting DOM攻击的问题<div id=...
2022-08-11 21:14:00
1275
原创 TreeHelp 无限下钻树生成及查询
TreeHelp 无限下钻树生成及查询===============安装环境jdk版本:1.8+mybatis plus:3.4.1fastjson:1.2.75其他具体依赖包见pom.xml结构说明1. 包demo为测试代码,主要演示树节点生成及树列表查询的工具类使用方式2. 包treehelp为树生成及查询工具类包,demo包下的操作均基于此包完成,为通用实现3. TreeNodeVo用于数据展示的VO,TreeEntity为用于数据库操作的实体,demo中
2021-07-13 14:14:55
241
原创 oralce 11g 数据库及客户端client等的下载安装
下载地址:https://www.oracle.com/cn/database/technologies/microsoft-windows.html
2021-01-06 17:01:00
193
原创 java: javacTask: 源发行版 8 需要目标发行版 1.8
idea同一工作空间中不同工程使用不同的jkd版本。在本地idea同时使用jdk1.7和jdk1.8,不同的java工程使用不同的jdk版本,但是在java代码编译时报错,其报错信息为:【java: javacTask: 源发行版 8 需要目标发行版 1.8 java: Compilation failed: internal java compiler error】。导致此报错明...
2020-12-09 17:49:00
2411
原创 java如何效率较高的判断list为空
我们都知道判断list为空可以通过两种途径: 一、1 List list = new ArrayList(2);2 System.out.println(list.size());//当list.size()==0时,说明该list为空 二、1 List list = new ArrayList(2);2 System.out.println(list.isEmp...
2020-11-27 15:46:00
504
原创 idea如何实现同一工作空间同时启动多个工程
写在前面的话 作为程序开发者,使用一款快捷的IDE工具常常会便捷你的工作,提高工作效率,之前我一直使用eclipse进行开发,但为了同时代接轨,我尝试使用了市面上非常流行的IDE工具idea。在这里我有必要说明一下,idea是比eclipse更节省了内存,但在使用过程中还是有不少BUG的,如经常会出现maven编译错误的问题,从而导致工程无法正常启动。这或许是我操作不当导致,毕竟...
2020-09-24 15:09:00
1407
原创 卸载docker及其镜像方法+docker搭建代码质量检测平台sonarqube+maven方式扫描java代码...
Sonar 是一个用于代码质量管理的开源平台,用于管理源代码的质量 通过插件形式,可以支持包括 java,C#,C/C++,PL/SQL,Cobol,JavaScrip,Groovy 等等。sonar服务搭建有很多种方式,本文介绍通过docker方式安装sonar服务器的流程,以供参考。 1、本次所使用的服务器相关信息简单罗列 服务器使用CenterOS 7(需连接互联网...
2020-09-15 16:56:00
231
原创 adobeacrobatXpro 十分好用得pdf编辑工具
下载地址百度云链接:https://pan.baidu.com/s/1Vfn6HiKdKmRKznaHX9-x1w 提取码:6lay
2019-12-06 18:23:00
508
原创 苹果手机视频传输教程-通过无线将电脑上视频传到手机
手机安装软件sPlayer,打开wifi上传文件功能,随后在电脑浏览器输入手机出现地址如:1.1.1.1:8080,后电脑出现界面。完成上传后,在手机sPlayer可见该视频入图注:完成上传功能需手机和电脑处于同一wifi环境之下...
2019-09-23 14:31:00
1009
原创 EXCEL列乱序后内容重新对应
使用公式=INDEX(D:D,MATCH(A1,C:C)).如下动图所示还有一个好用的公式:=VLOOKUP(A1,C:D,2,FALSE)。
2019-09-04 16:06:00
507
原创 idea 项目编译不成功-循环依赖的问题
解决方法:cd到项目根目录,执行命令:mvn dependency:tree -Dverbose -Dincludes=com.cacss.itas >d:\tree.txt,查看maven依赖关系,打开该文件发现存在红框所示内容...
2019-08-22 17:56:00
417
原创 oracle数据库动态拼接查询条件解决方案
在项目中遇到需要动态拼接查询条件的需求,现将解决方案列于下。 一、select * from table t where ('$(param)' is null or t.filed = '$(param)') 使用方式:可以在拼接查询条件时进行判断,若param存在则传该参数,若不存在则不传任何参数。 二、select * from table t ...
2019-07-11 17:33:00
2672
2
原创 文档加密、解密jar包
此jar包支持pdf、excel、txt等格式文档的加密(本jar包方法加密后的解密)实现,满足项目中上传到服务器的文档的加密方法,保证用户信息安全,提高系统的安全级别。此方法是用加密方式 DES,可满足文档加密的基本需求。使用方法说明:1、文档加密方式调用方法FileUtil.fileEncrypt(fileTemp1, fileincode,"222222222222"),参数说...
2019-04-25 12:09:00
138
原创 jdk版本信息与环境变量配置版本不一致
开始在本地安装了jdk1.7并配置了环境变量,使用java -version查看版本信息为【java version "1.7.0_51"】。随后安装了oracle数据库,再使用java -version命令查看版本信息发现有变化【java version "1.8.0_201"】。使用echo命令查看本地环境变量配置发现环境变量在JAVA_HOME前面有oracle的配置,如图此...
2019-04-12 15:00:00
250
原创 ORA-12560:TNS:protocol adapter error
cmd链接oracle数据库报错ORA-12560:TNS:protocol adapter error解决方法之一:以完整格式“sqlplus 用户名/密码@127.0.0.1/数据库服务名”登录时提示成功。报错信息解释:Warning: the objects were exported by RTCRM, not by you,指的是即将导入的数据属于ABC用户,但导入时使用...
2019-04-10 09:25:00
448
原创 Error parsing HTTP request header 控制台报错分析与解决
控制台报错信息: org.apache.coyote.http11.AbstractHttp11Processor process信息: Error parsing HTTP request header Note: further occurrences of HTTP header parsing errors will be logged at DEBUG level.j...
2019-03-14 19:27:00
541
原创 java 使用JSONObject对json操作
JSONObject相关的json优秀的实现了list、对象、字符串等与json的互转,满足项目中各种json的转化。 一、使用时引入net.sf.json jar包,下载地址:https://sourceforge.net/projects/json-lib/files/json-lib/。同时还需要引入依赖包:commons-lang.jar、commons-beanutil...
2019-01-04 14:21:00
143
1
原创 idea 如何像eclipse一样同一工作空间同时启动多个项目
1、创建工作目录。在系统盘找到你要存放工程的目录,如我所使用的是D:/IDEA_WORKSPACE;2、将需要部署的两个工程放到1步创建的目录下。如你所需要部署的工程为A和B,将这两个工程放到路径D:/IDEA_WORKSPACE之下;3、打开idea,启动后点击file-》open->在打开的窗口中选择工作目录为第一步所创建的目录D:/IDEA_WORKSPACE;4、点击...
2018-12-29 09:33:00
532
原创 A child container failed during start
今天在本地部署idea,发布工程后无法启动。随后在eclipse中启动工程无法正常启动,报错A child container failed during start java.lang.ExceptionInInitializerError,各种查资料都无济于事,最后使用工程所使用的空白tomcat试着启动,启动失败-报错apache-tomcat-7.0.50\webapps\...
2018-12-28 15:39:00
109
原创 JAVA LIST 排序方法
/×××JAVA LIST 排序方法×××/private class ComparatorUser implements Comparator { public int compare(Object arg0, Object arg1) { Object pd1 = (Object) arg0; Object pd2 ...
2018-12-21 16:20:00
56
原创 URL传参注意
在使用GET请求传参数时,URL使用&PARAM=xxxxxx传递参数,若参数中包含特殊字符,处理起来就比较麻烦,特别是参数本身带有&,此时就需要将特殊字符进行处理.这里使用函数encodeURIComponent()在传参前对其进行处理,在使用时,使用decodeURIComponent()对其进行解码.PS: 1.encodeURIComponent() 函...
2018-12-21 15:59:00
122
原创 ORACLE之莫名---ORA-02290: 违反检查约束条件
最近碰到一个十分棘手的问题,Java程序插入空数据到oracle时报ORA-02290: 违反检查约束条件(NAMIBIAWEB.SYS_C0069731),【ORA-02290: check constraint (NAMIBIAWEB.SYS_C0069731) violated】这明显是在设置不可为空的字段上插入为空内容导致,但是检查数据库表后发现,字段设置为可为空,又查看了建...
2018-03-16 11:41:00
175
原创 jquery 选择器 或 且
jquery选择器具有很强大的功能,基本的使用方法随处可见,jquery还提供了更为方便的使用。 且:$("div[id^='AAA_']div[id$='_DIV']"),此选择器表示以AAA_开头的且以_DIV结束的标签; 或:$("div[id^='BBB_'],div[id$='_DIV']"),此选择器表示以BBB_开头的或以_DIV结束的标签。...
2018-03-07 17:22:00
124
原创 Oracle-数据类型为date 日期查询技巧
date类型是oracle中存储日期类的一种常用类型,其处理也是在数据库使用中比较多需要注意的地方。如我们可以使用to_char函数将其转化为任意时间格式的字符串,也可使用to_date函数转化相应的字符串为日期格式。 本篇主要介绍这样一种使用情况。 问题描述:字段保存为带有时分秒格式的日期形式,现需要查询某天或某日期区间内数据,即查询条件无时分秒。 问题分析:由于保存格...
2018-01-29 17:39:00
250
原创 神剧制作《黑镜》第四季基本剧情,良心制作
《黑镜》,一部科技感十足的电视,全剧脑洞之大完全出乎你的想象,然而,在科技与现实的边缘,他却给我们提出了一个又一个需要严肃思考的问题。每看完一集我都想,科技到底给我们带来了什么?这个话题起点真是太高,奈何我才疏学浅并不能论证一二,懂或非懂却就在那一线之间的地带,只是说不出,心里却感觉很明白。如今第四季已出,科技与道德的争锋,信仰似乎也已经无足轻重。一个过客,只能在热血与激情中看完每一...
2018-01-02 16:42:00
94
java文档加密jar包 文档防泄密
2019-04-03
spring mvc注入问题 实例化对象为空
2016-06-30
TA创建的收藏夹 TA关注的收藏夹
TA关注的人