zhigangsun-CSDN博客

转载 web.xml中<security-constraint>和四种认证类型

的子元素是可选的，如果没有元素，这表示将禁止所有 HTTP 方法访问相应的资源。子元素需要和相配合使用，但可以被单独使用。如果没有子元素，这表明任何身份的用户都可以访问相应的资源。也就是说，如果中没有子元素的话，配置实际上是不起中用的。如果加入了子元素，但是其内容为空，这表示所有身份的用户都被禁止访问相应的资源。 web.xml:s

2015-01-06 13:28:51 633

转载 Wireshark基本介绍和学习TCP三次握手

这篇文章介绍另一个好用的抓包工具wireshark，用来获取网络数据封包，包括http,TCP,UDP，等网络协议包。记得大学的时候就学习过TCP的三次握手协议，那时候只是知道，虽然在书上看过很多TCP和UDP的资料，但是从来没有真正见过这些数据包，老是感觉在云上飘一样，学得不踏实。有了wireshark就能截获这些网络数据包，可以清晰的看到数据包中的每一个字段。更能加深我们对网络协议的理

2014-11-30 18:33:48 472

转载 Web安全测试之XSS

XSS 全称(Cross Site Scripting) 跨站脚本攻击，是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的. 比如获取用户的Cookie，导航到恶意网站,携带木马等。作为测试人员，需要了解XSS的原理，攻击场景，如何修复。才能有效的防止XSS的发生。

2014-11-30 18:32:48 449

转载细说Cookie

http://www.cnblogs.com/fish-li/archive/2011/07/03/2096903.html阅读目录开始Cookie 概述Cookie的写、读过程使用Cookie保存复杂对象Js中读写CookieCookie在Session中的应用Cookie在身份验证中的应用Cookie的安全状况如何在C#发请的请求中使用Cookie重构与使用总结补充

2014-11-30 18:31:02 376

转载 HTTP协议 (七) Cookie

http://www.cnblogs.com/TankXiao/archive/2013/04/15/2848906.htmlCookie是HTTP协议中非常重要的东西，之前拜读了Fish Li 写的【细说Cookie】，让我学到了很多东西。Fish的这篇文章写得太经典了。所以我这篇文章就没有太多内容了。最近我打算写一个系列的HTTP文章，我站在HTTP协议的角度，说

2014-11-30 18:27:25 457

转载 HTTP协议 (四) 缓存

http://www.cnblogs.com/TankXiao/archive/2012/11/28/2793365.html这次继续介绍HTTP协议中的缓存机制。HTTP协议提供了非常强大的缓存机制，了解这些缓存机制，对提高网站的性能非常有帮助。本文介绍浏览器和Web服务器之间如何处理"浏览器缓存"，以及控制缓存的http header.本文会使用Fiddler来查看HTTP

2014-11-30 18:25:09 347

转载 HTTP协议 (三) 压缩

http://www.cnblogs.com/TankXiao/archive/2012/11/13/2749055.html本文会使用Fiddler来查看HTTP request和Response, 如果不熟悉这个工具，可以先参考[Fiddler教程]HTTP压缩是指: Web服务器和浏览器之间压缩传输的”文本内容“的方法。 HTTP采用通用的压缩算法，比如gzip来压缩HTML,J

2014-11-30 18:24:41 349

转载 HTTP协议 (二) 基本认证

http://www.cnblogs.com/TankXiao/archive/2012/09/26/2695955.htmlhttp协议是无状态的，浏览器和web服务器之间可以通过cookie来身份识别。桌面应用程序(比如新浪桌面客户端， skydrive客户端)跟Web服务器之间是如何身份识别呢？阅读目录什么是HTTP基本认证HTTP基本认证的过程HTTP基本认证

2014-11-30 18:22:15 356

转载 HTTP协议详解

http://www.cnblogs.com/TankXiao/archive/2012/02/13/2342672.html当今web程序的开发技术真是百家争鸣，ASP.NET, PHP, JSP，Perl, AJAX 等等。无论Web技术在未来如何发展，理解Web程序之间通信的基本协议相当重要, 因为它让我们理解了Web应用程序的内部工作. 本文将对HTTP协议进行详细的实例讲解，内

2014-11-30 18:20:23 323

转载 HTTP协议(六) 状态码详解

http://www.cnblogs.com/TankXiao/archive/2013/01/08/2818542.htmlHTTP状态码，我都是现查现用。我以前记得几个常用的状态码，比如200，302，304，404， 503。一般来说我也只需要了解这些常用的状态码就可以了。如果是做AJAX，REST,网络爬虫，机器人等程序。还是需要了解其他状态码。本文我花了一个多月的时间

2014-11-30 18:18:42 376

转载 Fiddler实现手机的抓包

http://www.cnblogs.com/TankXiao/p/3063871.htmlFiddler不但能截获各种浏览器发出的HTTP请求, 也可以截获各种智能手机发出的HTTP/HTTPS请求。Fiddler能捕获IOS设备发出的请求，比如IPhone, IPad, MacBook. 等等苹果的设备。同理，也可以截获Andriod，Windows Phone的等设备发出的H

2014-11-30 18:04:28 581

转载 META http-equiv="refresh" 实现网页自动跳转

http://blog.csdn.net/wuruixn/article/details/8879874***.html自动跳转文件代码如下：.js" type="text/javascript">document.write('' + wizard_pls_wait + '')使用说明：刷新内容

2014-11-30 18:00:31 1852

转载 Fiddler 教程

http://www.cnblogs.com/TankXiao/archive/2012/02/06/2337728.html#decodeResponseFiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据. 使用Fiddler无论对开发还是测试来说，都有很大的帮助。阅读目录Fidd

2014-11-30 17:54:10 326

转载 Servlet、Filter、Listener总结

http://blog.csdn.net/cendy_69576750/article/details/79309731、In Action（1）写一个类继承HttpServlet；（2）重写其中的方法。 1、TIPS（1）Servlet生命周期每个Servlet都有自己的生命周期。Servlet的生命周期由web服务器维护。服务器在启动时（配置了load-on

2014-11-26 22:27:53 610

转载 Scale Up和Scale Out

Scale Out（也就是Scale horizontally）横向扩展，向外扩展Scale Up（也就是Scale vertically）纵向扩展，向上扩展无论是Scale Out，Scale Up，Scale In，实际上就是一种架构的概念，这些概念用在存储上可以，用在数据库上，网络上一样可以。简单比喻下Scale out和Scale up，帮助我们理解：Scale Out，比

2014-06-09 14:02:03 1059

转载 SSL协议与数字证书原理

SSL协议与数字证书原理1 SSL(Secure Socket Lclientyer)是netscclientpe公司设计的主要用于weserver的安全传输协议。这种协议在WESERVER上获得了广泛的应用。SSL在TCP之上建立了一个加密通道，通过这一层的数据经过了加密，因此达到保密的效果。SSL协议分为两部分：Hclientndshclientke Protocol和Record

2014-05-22 09:15:44 792

转载双向认证SSL原理

1、基础知识这部分内容主要解释一些概念和术语，最好是先理解这部分内容。1.1、公钥密码体制(public-key cryptography)公钥密码体制分为三个部分，公钥、私钥、加密解密算法，它的加密解密过程如下：加密：通过加密算法和公钥对内容(或者说明文)进行加密，得到密文。加密过程需要用到公钥。解密：通过解密算法和私钥对密文进行解密，得到明文。解密过程需要用

2014-05-22 09:15:08 449

摘要：虽然session机制在web应用程序中被采用已经很长时间了，但是仍然有很多人不清楚session机制的本质，以至不能正确的应用这一技术。本文将详细讨论session的工作机制并且对在Java web application中应用session机制时常见的问题作出解答。目录：一、术语session二、HTTP协议与状态保持三、理解cookie机制四、理解session机制五、理解javax.

2014-05-21 15:03:35 486

原创 DB2 tuning

Add logs to monitor the time spent on specific sql script1. prepare a log table to store the timestamps in testing environmentdrop table ebiz1.owen_log;2. modify the sproc to populate the

2014-05-21 10:40:18 638

原创 DSW SQO Mobiel

Performance: cache(JSONStore + local JS/CSS/Image cache + Luence), parallel http request, paginationsecurity: IMC + BlueGroup + Bluepage+ SQO Access level(0..6)device passwordOne UIca

2014-05-13 16:55:55 486

原创 SQO 登陆流程

Zhi Gang Sun终于等着你了，哈哈 ◄问个DSW 登陆流程的问题啊 15:52:12◄比方说SQO 15:52:19◄从jump page上点的那个link应该是先到SQO了吧 15:53:32◄还是直接先到webauth呢 15:53:47Jing Y

2014-05-13 16:51:18 1266

转载基于 REST 的 Web 服务：基础

基础REST 定义了一组体系架构原则，您可以根据这些原则设计以系统资源为中心的 Web 服务，包括使用不同语言编写的客户端如何通过 HTTP 处理和传输资源状态。如果考虑使用它的 Web 服务的数量，REST 近年来已经成为最主要的 Web 服务设计模型。事实上，REST 对 Web 的影响非常大，由于其使用相当方便，已经普遍地取代了基于 SOAP 和 WSDL 的接口设计。R

2014-05-06 16:17:31 543

转载基于REST架构的Web Service设计

REST的架构设计　　REST（Representational State Transfer）是一种轻量级的Web Service架构风格，其实现和操作明显比SOAP和XML-RPC更为简洁，可以完全通过HTTP协议实现，还可以利用缓存Cache来提高响应速度，性能、效率和易用性上都优于SOAP协议。　　REST架构遵循了CRUD原则，CRUD原则对于资源只需要四种行为：Crea

2014-05-06 16:14:33 431

转载 REST WebService与SOAP WebService的比较

在SOA的基础技术实现方式中WebService占据了很重要的地位，通常我们提到WebService第一想法就是SOAP消息在各种传输协议上交互。近几年REST的思想伴随着SOA逐渐被大家接受，同时各大网站不断开放API提供给开发者，也激起了REST风格WebService的热潮。SOAP 什么是SOAP，我想不用多说，google一把满眼都是。其实SOAP最早是针对RPC的一

2014-05-06 16:13:17 397

转载哈希算法

Hash算法即哈希算法。哈希算法将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母，随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入，在计算上是不可能的，所以数据的哈希值可以检验数据的完整性。一般用于快速查找和加密算法。

2014-05-06 16:03:04 7432

转载对称加密和非对称加密介绍和区别

对称加密和非对称加密介绍和区别什么是对称加密技术？对称加密采用了对称密码编码技术，它的特点是文件加密和解密使用相同的密钥，即加密密钥也可以用作解密密钥，这种方法在密码学中叫做对称加密算法，对称加密算法使用起来简单快捷，密钥较短，且破译困难，除了数据加密标准（DES），另一个对称密钥加密系统是国际数据加密算法（IDEA），它比DES的加密性

2014-05-06 15:28:02 886

转载基于Cookie的单点登录（SSO）系统介绍

SSO的概念：单点登录SSO（Single Sign-On）是身份管理中的一部分。SSO的一种较为通俗的定义是：SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。SSO的用途：目前的企业应用环境中，往往有很多的应用系统，如办公自动化（OA）系统，财务管理

2014-05-06 15:17:47 1445

转载基于SAML的单点登录介绍

一、背景知识： SAML即安全断言标记语言，英文全称是Security Assertion Markup Language。它是一个基于XML的标准，用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider)，这两者构成了前面所说的不同的安全域。 SA

2014-05-06 15:16:57 762

转载 Kerberos与PKI简介

Kerberos是对称密钥，而PKI是非对称密钥Kerberos协议：Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-grantingticket)访问多个服务，即SSO(Single SignOn)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全

2014-05-06 14:58:16 5284 1

转载 Programming With the Java XML Digital Signature API

One of the significant new features of the Java Platform, Standard Edition 6 (Java SE 6) is the Java XML Digital Signature API. This API allows you to generate and validate XML signatures. XML signa

2014-05-06 13:36:21 1460

转载 An Introduction to XML Digital Signatures

IntroductionCurrent security technologies in common deployment are insufficientfor securing business transactions on the Web. Most existingbrowser-based security mechanisms, generally adequate for l

2014-05-06 13:28:07 704

转载 Secure Web services

Security is important for any distributed computing environment. But, security is becoming even more important for Web services due to the following reasons:The boundary of interaction between com

2014-05-06 11:26:59 1005

转载 Java中的==和equals区别

A.==可用于基本类型和引用类型：当用于基本类型时候，是比较值是否相同；当用于引用类型的时候，是比较对象是否相同。 B.对于String a = “a”; Integer b = 1;这种类型的特有对象创建方式，==的时候值是相同的。 C.基本类型没有equals方法，equals只比较值（对象中的内容）是否相同（相同返回true）。 D.一个类如果

2014-05-06 10:40:15 386

转载在java中为什么要把main方法定义为一个static方法

（1）在类中，变量的前面有修饰符static称为静态变量（类变量），方法的前面有修饰符static称为静态方法（类方法）。静态方法和静态变量是属于某一个类，而不属于类的对象。（2）静态方法和静态变量的引用直接通过类名引用。例如：类Point中有个 static int x;类变量，我们要引用它：Point.x=89; （3）在静态方法中不能调用非静态方法和引用非静态的成员变量。反

2014-05-06 10:17:43 654

转载 HTML转义字符串

HTML中，&等有特殊含义（，用于链接签，&用于转义），不能直接使用。这些符号是不显示在我们最终看到的网页里的，那如果我们希望在网页中显示这些符号，该怎么办呢？这就要说到HTML转义字符串（Escape Sequence）了。转义字符串（Escape Sequence）也称字符实体(Character Entity)。在HTML中，定义转义字符串的原因有两个：第一个原因是像“”这类符

2014-05-05 22:33:25 442

转载 escape,encodeURI和encodeRUIComponent的区别

JavaScript中有三个URL函数编码，他们都是全局的；区别在于：encodeURI只将URI中的空格和非AscII字符进行编码，编码后的URI可以正常访问(ajax中文问题可以使用encodeURI对url进行编码)encodeURIComponent 除了将所有的非ASCII字符编码外，还将一些特殊字符进行编码，如？#:,&等，编码后的URI不可访问escape 功能和en

2014-05-05 22:30:48 790

转载 SOAP Array Overflow

DescriptionSummaryAn attacker sends a SOAP request with an array whose actual length exceeds the length indicated in the request. When a data structure including a SOAP array is instantiated, th

2014-05-05 22:18:12 691

转载 Buffer overflow

DescriptionBuffer overflow errors are characterized by the overwriting of memoryfragments of the process, which should have never been modifiedintentionally or unintentionally.Overwriting values of

2014-05-05 17:04:25 1097

转载 Cross-Site Request Forgery (CSRF)

OverviewCSRF is an attack which forces an end user to execute unwanted actions on a web application in which he/she is currently authenticated. With a little help of social engineering (like sending

2014-04-20 10:53:34 5256

转载 Cross-site Scripting (XSS)

OverviewCross-Site Scripting (XSS) attacks are a type of injection, in which malicious scripts are injected into otherwise benign and trusted web sites. XSS attacks occur when an attacker uses a web

2014-04-20 10:14:02 5622

空空如也

空空如也