最近碰到的一些关于webx的问题

最新推荐文章于 2024-10-14 11:04:53 发布
最新推荐文章于 2024-10-14 11:04:53 发布
阅读量118 收藏
点赞数
文章标签: 后端
原文链接:http://www.cnblogs.com/sunloc/p/3249342.html
版权

 问题一:由于一个action未进行验权而导致的问题

  背景:

  1. 在进行一个业务逻辑操作的过程中,对于一个用户如果没有某个操作的权限,我们通常会将其引导到权限申请页面或者用户信息完善页面;

  2. 用户访问一次页面发送一次请求,线程变量就会记录该次用户的登录信息;

  3. 而当用户访问一些页面的时候是可以跳过这些用户的登录信息的,比如用户信息完善页面;

  问题描述:

  1. 一个用户访问到其没有权限的一个操作时,系统引导其到一个用户信息页面同时将其访问的页面以redirect参数的形式带在链接上,而用过webx的同学应该知道,对于action的调用,一般是直接将action参数和event参数直接挂在连接上,当然这也是这个问题出现的主要原因;

  2. 用户到用户信息页面后,由于这个页面不需要验证用户的登录信息,加上连接上的action和event参数,就直接跳过了请求阀门中进行验权的操作,而直接进入action的主题函数中,而action本身是没有进行权限验证的,导致业务逻辑被执行,问题也就产生了;

  3. 由于没有进行用户登录信息验证,使得线程变量池记录的是上一次用户登录的信息,导致日志记录操作人也出错。

  解决方案:

  1. 请求结束后及时清掉用户信息,每一次请求都会重新去session中去取用户信息;

  2. 针对权限点验证,除了在请求阀门中验证以外,对于有暴露不需要验权页面的系统,需要在重要的action中也进行验权处理;

  3. 针对action提交操作,除了添加验权外,也可以添加token来防止链接被人误操作;

问题二:关于webx中的vm中引入control的两种方式:$control.setTemplate()与#parse()的区别

  webx的vm模板分为screen 展现页面的主题部分,layout用于系统的布局和结构,control用于承载系统中共用的部分;

  webx中既可以通过#parse()引用control,也可以通过$control.setTemplate()引用;

  #parse()是velocity层面的引用,father.vm 通过#parse(son.vm)引用了son.vm模板之后,可以理解为son.vm是father.vm的一部分,son.vm如果有对应后端处理逻辑,是不会被执行的,但是son.vm中可以共用father.vm的参数变量;

  $control.setTemplate()是webx层面提供的一种control引用方式,father.vm通过$control.setTemplate(son.vm)引用了son.vm之后,father.vm会进行顺序解析,在解析到$control.setTemplate()的时候,会进行到son.vm模板中去进行解析,所以会执行son.vm所对应的后端处理逻辑;同时,son.vm中不能使用father.vm中的参数,如果需要将father.vm中的变量共享到son.vm,可以通过setParameter()传入son.vm中。

  简而言之:

  1. #parse()是velocity层面,$control.setTemplate()是webx层面

  2. #parse()不会执行引用vm的后端逻辑,$control.setTemplate()会执行

  3. #parse()引用vm与被引用vm共享参数变量集,$control.setTemplate()如需共享,需要传入

转载于:https://www.cnblogs.com/sunloc/p/3249342.html

weixin_30609331
关注
webx总结
03-29
5. **实战经验分享**:分享使用Webx开发项目的实践经验,包括遇到的问题、解决方案以及最佳实践。 6. **自定义与扩展**:讲解如何根据项目需求自定义Request Context,以实现更高级的功能或者优化性能。 7. **案例...
Webx中的安全考虑
weixin_34194087的博客
02-06 106
1、默认拦截器 即使你不加说明,BasicRequestContext也总是会启用一个默认的interceptor实 现:ResponseHeaderSecurityFilter。这个类实现了下列功能: • 避免header name和value中出现CRLF字符 ── 在header中嵌入CRLF(回车换行)字符 是一种常见的***手段。***者嵌入CR...
关于HTML代码的转义
weixin_30652897的博客
11-03 208
笔记: 1.在通过jsonp方式传输HTML代码的时候,为了防止代码中的一些字符影响json的语法,需要对HTML代码进行转义。 2.转义的时候可以只转义特殊字符(引号之类的),也可以把所有字符(中文)都转义,但是考虑到http传输时效率,一般只使用部分转义。 3.有些框架(如WebX)会在表现层自带转义的处理,这时如果在逻辑层,自己再转义一遍,则会出错。而且由于查看json的时候...
无法加入webmeeting, 无法打开webex
热门推荐
zhimakaimen503的博客
01-02 1万+
用谷歌, 酷狗, IE都试过, 下载Cisco-WebEx-Extension拖拽到扩展程序中也没有作用, 最后更新了IE, 打开网页时失败, 但提示: "确保启用了TLS和SSL协议", 最后在Internet设置中修改了配置, 就可以了 耽误了好久 所以软件就用更新的...
使用webx3 templateService渲染内容
sunshinechaos的博客
12-10 181
   工作中我们经常会遇到这样的需求:    1.发送一段消息并在web前端展示(例如工作台就是一个很好的场景)      solution 1:     String message="xx"; sender.send(message);      这个方法第一个硬伤,如果xx包含中文或者其他字符呢?    前端看到的内容可能会出现乱码。      第二个问题,如...
WebX入门指南
weixin_34248258的博客
11-25 445
[说明] 本文围绕WebX的Web框架展开,试图将整个开发中使用的软件栈或者说生态系统串联起来。本文中不讲解原理性的东西,只是讲解各种场景下如何使用WebX相关的技术。入门指南中涉及到的实践指南和原理指南,不会展开,在后续博文中,详细阐述。 WebX简介 详细的简介说明见WebX官网。首先看一下WebX的官方介绍: Web...
Webx3 Guide Book pdf
09-26
- **资源问题处理**:针对资源访问过程中可能遇到的问题提供了相应的解决方案。 ##### **5.2 Spring的ResourceLoader机制** - **Resource接口**:定义了资源的基本操作方法。 - **ResourceLoader和...
淘宝框架 Webx3资料
12-17
该框架旨在解决传统Java Web开发中遇到的问题,如复杂的配置、低效的开发周期等,并通过一系列创新的设计理念和技术实现来提升开发效率和系统的可维护性。 - **发展历程**:Webx3框架自发布以来经历了多个版本的...
WebX实践指南_页面模板(二)
weixin_33700350的博客
11-26 152
正如前面所讲的,WebX中View使用Velocity模板引擎来实现的。 Velocity Velocity是一个基于Java的模板引擎,它可以让视图的设计者在web页面中引用java代码中定义的数据对象和命令,从而实现真正意义上的MVC模式,保证了系统长期可维护性。下面简单地介绍下,Velocity的使用,关于Velocity...
【笔记】Day2.3.1DTO对象
2301_81538937的博客
10-11 366
当前端传来的数据中包含后端数据库没有的字段时,DTO 可以对这些数据进行转换和映射,以确保后端可以正常接收并处理这些数据。就传到(经过)DTO DTO对前端数据进行转换,使得后端数据库得以正常接收前端传回的数据。当前端传回的数据中含有后端数据库没有的字段时。DTO是一个联系前端数据和后端数据库的桥梁。一个默认前提:前端传回数据到数据库。存着后端数据库中没有的实体字段。
Linux内核 -- Hung Task 检测及日志保存
sz66cm 学习随笔
10-11 765
Hung Task触发时,内核日志会记录相关信息。可以通过日志守护程序(如rsyslog)将这些日志保存到文件系统或 EMMC 中。通过配置pstore,可以将内核异常信息直接保存到 EMMC 或其他持久存储中。配置日志轮转和监控,确保日志不会占用过多存储空间。
公共字段自动填充
xxx_jsu的博客
10-10 373
自定义注解AutoFill,用于标识需要进行公共字段自动填充的方法(标识insert,update方法)完成公共字段填充后则不再需要在service中的insert和update的公共方法进行赋值。因为在后端开发中需要用到很多sql语句,公共字段填充可以很好的减轻代码量。自定义切面,实现公共字段填充处理逻辑。在Mapper中使用。
前后分离项目记录
qq_25806839的博客
10-10 384
打包报错 Thread Loader时,增加以下代码: 上线,打包prod时:
字节跳动青训营开始报名了!
窗外风景随心变幻
10-10 1984
青训营是字节跳动技术团队发起的技术系列培训 &人才选拔项目;面向高校在校生,旨在培养优秀且具有职业竞争力的开发工程师。本次技术训练营由掘金联合豆包MarsCode 团队主办课程包含前端、后端和 A 方向,在这个飞速发展的 AI 时代,我们将和豆包MarsCode 一起深入探索,在青训营的技术氛围中,学习 AI,使用 Al,高效写码~
SpringBoot +Vue3前后端分离项目入门基础实例二
没刮胡子的程序员专栏
10-14 97
创建一个UserController控制器,主要实现了基本的用户登录、注册、修改、删除、分页查询等基本的功能,由于是用于基本示例所以没有创建业务层Service,直接使用的Mapper,后续可以修改。后端项目的访问安全也是非常重要的一个点,不能让所有人都可以访问后端项目,需要对访问后端的项目进行必要的限制。有的时候后端接口的404页面或者500等错误页面会暴露服务器的信息,所以可以通过配置屏蔽掉默认的错误信息。屏蔽后的页面,已经基本无法判断后端接口的技术信息了。2、限制请求者的IP地址。
Java通过RAG构建专属知识问答机器人_超详细
whisperzzza的博客
10-11 798
具体来说,RAG首先利用检索模型从私有或专有的数据源中搜索相关信息,然后将这些信息提供给生成模型,如大型语言模型(LLM),以生成更加准确、基于上下文的回复。这种方法有助于减少大模型在生成过程中可能出现的“幻觉”现象,并且能够使模型的回答更贴合企业的特定数据,从而提高了回答的精确度与相关性。通过良好的抽象设计,Spring AI显著减少了程序员在对接不同类型接口时查阅文档和迁移实现的工作量,为基于Java的AI开发带来了极大的便利性和效率提升。类用于处理索引构建和查询逻辑。,你可以在这里测试你的聊天界面。
保护数据安全:JS前端加密与PHP后端解密实战教程,让敏感信息更安全
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
10-09 591
Web开发中,确保用户提交的敏感信息(如密码、手机号码等)的安全性是非常重要的。一种常见的做法是使用加密技术来保护这些数据,在传输过程中不被第三方窃取或篡改。本文将通过一个实际案例,介绍如何使用JavaScript进行前端加密,并配合PHP进行后端解密,以提高敏感信息的安全性。首先,在HTML页面头部引入Crypto-JS库,以便于后续使用其提供的加密功能。 2. 生成随机IV-Token 在用户登录之前,我们需要为每个用户生成唯一的IV和Token。这可以通过PHP实现: 这里是一个自定义函数,用来产生
实战篇:(二)React 创建项目并连接 MySQL 后台的实战教程
最新发布
mmc123125的博客
10-14 705
本篇博客将介绍如何使用 React 搭建前端项目,并通过 Node.js 和 MySQL 实现简单的后台数据连接。通过这个项目,你将掌握从前端到后端数据库的基础开发流程,适合初学者或正在项目实战中的开发者。通过本篇博客的实战步骤,成功搭建了一个 React 前端项目,并使用 Node.js 和 MySQL 作为后端服务。这种全栈开发的模式适合中小型项目开发,同时也为学习前后端分离架构打下坚实的基础。后续可以考虑增加更多功能,如用户注册、登录等。你可以根据需求进一步扩展和定制项目。希望这篇教程对你有所帮助。
Webx框架深度解析:SpringExt与WebxFramework
"Webx框架是一份详细的指南,由Michael Zhou编写,主要涵盖了SpringExt的配置和使用,以及Webx框架的各个方面,如设计理念、框架结构、SpringExt的工作原理、Webx的初始化和请求处理机制、页面驱动的Turbine模块等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值