[教育工作经历的Json结构化表示]的搜索结果

...础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...应用程序的不断发展，JSON在现代开发中的地位日益凸显。近期，一项关于前端性能优化的研究指出，使用JSON进行数据交换和存储的方式，在移动优先、响应式设计以及SPA（单页应用）等主流开发模式中，能够显著降低网络传输负担，提升用户体验。 具体来说，各大云服务提供商如AWS、Azure和Google Cloud也纷纷推出对JSON格式原生支持的服务，如AWS DynamoDB可以直接处理JSON文档，大大简化了数据读写操作的复杂性。同时，Node.js社区不断涌现新的库和工具，以提高JSON数据处理效率，例如fast-json-stringify和json-bigint等，它们针对大数据量场景进行了深度优化，使得JSON在企业级应用中也能游刃有余。 此外，考虑到安全性问题，业界也在探索如何在保证JSON便捷性的前提下增强其安全性。例如，通过JSON Schema实现数据验证，确保接收到的数据符合预期结构，减少因数据格式错误引发的安全隐患。而在加密方面，已有研究提出了将JSON与加密算法结合，构建安全的数据交换通道。 综上所述，JSON作为跨平台、易于解析且高效的数据格式，在当前及未来一段时间内将持续发挥关键作用。无论是前端交互、后端数据处理，还是云端存储，深入理解和掌握JSON的应用与最佳实践，都将有助于开发者应对日新月异的技术挑战，打造更高效、更安全的数字化产品。

JSON , JavaScript Object Notation，一种轻量级的数据交换格式，采用完全独立于语言的文本格式来存储和表示数据。JSON通过简洁、人性化的语法（类似于JavaScript对象字面量）来描述键值对集合，便于人阅读和编写，同时也易于机器解析和生成。在Web开发领域中，JSON广泛应用于前后端数据交互，使得不同平台之间能方便地传递结构化信息。 JavaScript 对象 , 在JavaScript编程语言中，对象是一种复杂数据类型，用于将相关数据和功能组织在一起。它是一个无序的属性集合，每个属性都有唯一的字符串键名和对应的值（可以是任何数据类型）。例如，在文章中提到的JavaScript对象 name: \ Tom\ , age: 18 ，其中\ name\ 和\ age\ 是属性名，\ Tom\ 和18是对应的属性值。 fetch API , Fetch API是现代浏览器提供的一种基于Promise的网络请求接口，用于从服务器获取资源。相较于传统的XMLHttpRequest对象，fetch提供了更简洁易用且符合现代异步编程模式的API。在文章中的示例代码中，fetch方法被用来从后端服务器获取JSON数据，然后通过.then(response => response.json())将响应体转换为JSON格式的数据，以便进一步处理和渲染到网页上。

JSON数据键的值，应该如何写多次换行的内容呢？ 一、初识JSON 为什么我们要讨论这个？ 大家好呀！今天我们来聊聊JSON——一种轻量级的数据交换格式。它就像是数据世界里的“万金油”，在前端和后端之间搭起了一座沟通的桥，让两边能顺畅地聊起天来。不过，今天我们要聊的可不是它的基本用法，而是稍微有点小复杂的问题：如何在JSON中表示包含多次换行的内容？ 先别急着翻白眼，这其实是个很有意思的事情。想象一下，如果你要存储一段长篇小说或者多段落的文本信息，而这些内容又包含了换行符，那么该如何优雅地处理呢？是不是有点挠头？但别担心，作为一个热爱折腾的程序员，我决定带你一起探索这个问题！ --- 二、JSON的基本规则 它不是魔法，但也不是障碍 首先，咱们得知道JSON的基本规则。JSON是一种基于文本的数据格式，主要由键值对组成。每个键必须是字符串，并且键和值之间需要用冒号分隔。至于值嘛，它可以是字符串、数字、布尔值、数组甚至是嵌套的对象。 比如这样： json { "name": "张三", "age": 25, "isStudent": false, "hobbies": ["reading", "coding"] } 看起来很简单吧？但是，当我们尝试存储一些更复杂的文本内容时，事情就没那么简单了。比如你想存一首诗，或者一封邮件，里面可能有好多换行符，那怎么办呢？ --- 三、问题来了 换行符的“尴尬”存在 假设你正在写一个应用程序，需要让用户输入一段多行的文字，比如他们的个人简介。哎，你说如果用户输入的内容里带换行符怎么办？难道直接一股脑儿扔进JSON里？但问题来了啊，JSON这小家伙自己也不太争气，它压根儿就不允许字符串里直接留着换行符呢！这可咋整？除非你用某种方式告诉它，“嘿，这可是真的换行哦！” 这就像是你在写信的时候，突然发现信纸不够宽，只能把一句话分成两行写。而你的朋友收到信后，还得脑补那些断开的部分重新组合起来。所以，我们得想个办法让JSON能够正确地解析这些换行符。 --- 四、解决方案 转义字符登场！ 幸运的是，JSON提供了一种非常聪明的方式来解决这个问题——转义字符。具体来说，如果你想在JSON字符串中表示换行符，可以使用\n来代替。这里的\n是一个特殊的符号，代表一个换行操作。 举个例子： json { "poem": "静夜思\n床前明月光,\n疑是地上霜。\n举头望明月,\n低头思故乡。" } 在这个例子中，我们用\n来表示每一句诗之间的换行。当你把这个JSON解析出来时，程序会自动把这些\n替换成实际的换行符，于是输出的结果就会变成： 静夜思 床前明月光, 疑是地上霜。 举头望明月, 低头思故乡。 是不是很神奇？不过，这里有一个小技巧需要注意：如果你想要表示真正的反斜杠（\），那么你需要用双反斜杠（\\）来表示。因为单个反斜杠在JSON中会被认为是一个转义符。 --- 五、更复杂的情况 多段落文本 当然，现实中的情况往往比一首诗复杂得多。比如说，你得把一封邮件的内容存下来，而这封邮件的正文往往是由好几段话组成的，有长有短，啥样的都有。哎呀，光靠换行符 \n 可不一定行啊，毕竟你还得让每段之间留点空白，不然读起来就像一锅粥，分不清哪是哪呀！ 在这种情况下，你可以继续使用\n，同时注意合理安排段落结构。例如： json { "email": "亲爱的李四：\n\n很高兴收到您的来信。以下是我的回复：\n\n第一段内容...\n第二段内容..." } 在这里，\n\n表示两个连续的换行符，从而形成了一段空行。用这种方法，就能把文章分得清清楚楚的，读起来也顺溜多了！ --- 六、代码实践 从理论到实战 说了这么多理论，让我们动手试试看吧！下面是一些简单的代码示例，展示如何在JavaScript中生成和解析带有换行符的JSON数据。 示例1：生成JSON字符串 javascript const data = { poem: "静夜思\n床前明月光,\n疑是地上霜。\n举头望明月,\n低头思故乡。", email: "亲爱的李四：\n\n很高兴收到您的来信。以下是我的回复：\n\n第一段内容...\n第二段内容..." }; // 将对象转换为JSON字符串 const jsonString = JSON.stringify(data); console.log(jsonString); 运行这段代码后，你会看到类似这样的输出： json {"poem":"静夜思\\n床前明月光,\\n疑是地上霜。\\n举头望明月,\\n低头思故乡。","email":"亲爱的李四：\\n\\n很高兴收到您的来信。以下是我的回复：\\n\\n第一段内容...\\n第二段内容..."} 可以看到，在生成的JSON字符串中，所有的\n都被转义成了\\n。 示例2：解析JSON字符串 javascript const jsonString = '{"poem":"静夜思\\n床前明月光,\\n疑是地上霜。\\n举头望明月,\\n低头思故乡。","email":"亲爱的李四：\\n\\n很高兴收到您的来信。以下是我的回复：\\n\\n第一段内容...\\n第二段内容..."}'; // 将JSON字符串解析回对象 const parsedData = JSON.parse(jsonString); console.log(parsedData.poem); console.log(parsedData.email); 运行这段代码后，你会看到如下输出： 静夜思 床前明月光, 疑是地上霜。 举头望明月, 低头思故乡。 亲爱的李四： 很高兴收到您的来信。以下是我的回复： 第一段内容... 第二段内容... 瞧！我们的换行符终于生效啦！ --- 七、总结与反思 好了，今天的分享就到这里啦！通过这篇文章，我们不仅了解了如何在JSON中处理多次换行的内容，还学习了一些实用的小技巧。虽然JSON看似简单，但它背后隐藏着很多有趣的细节。希望这些知识能帮助你在未来的编程旅程中更加游刃有余。 最后，我想说的是，编程不仅仅是冷冰冰的技术活儿，它也是一种艺术形式。每一次解决问题的过程，都充满了挑战和乐趣。所以，不管遇到什么困难，都别轻易放弃，试着去思考、去尝试，说不定下一个突破就在前方等着你呢！ 祝大家 coding愉快！ 😊

JSON是一种简洁的数据交换格式，具有结构清晰、易于读写、易于机器解读和创建、广泛应用等特点。在JavaScript中，可以将JSON格式的数据直接转换成实体，并且也可以将实体转换成JSON格式的数据。 将JSON转换成实体的方式是通过JSON.parse()函数完成的，它可以将JSON格式的文本解读成实体。 var jsonStr = '{"name":"Jack","age":20}'; var obj = JSON.parse(jsonStr); console.log(obj.name); // Jack console.log(obj.age); // 20 将实体转换成JSON的方式是通过JSON.stringify()函数完成的，它可以将实体转换成JSON格式的文本。 var obj = {name: "Jack", age: 20}; var jsonStr = JSON.stringify(obj); console.log(jsonStr); // {"name":"Jack","age":20} 在转换JSON格式的数据时，需要特别留意JSON格式的严谨性，例如键名必须用双引括起来，不能使用单引或不括起来。如果JSON格式不符合规范，转换时会引发SyntaxError错误。 var jsonStr = "{'name': 'Jack', 'age': 20}"; var obj = JSON.parse(jsonStr); // SyntaxError: JSON.parse: unexpected character 另外，在使用JSON格式进行数据交互时，还需要留意跨域问题。默认情况下，不同域名之间的数据传递会被浏览器约束，可以通过配置服务器端的Access-Control-Allow-Origin头部信息来处理跨域问题。 总之，JSON是一种十分重要的数据交换格式，掌握JSON的转换方式是必不可少的。

...下，我们都希望可以将JSON数据从客户端发送到服务器端，并且从服务器端返回响应的数据。这就是Ashx的一个强大功能。 2. 什么是Ashx Ashx是ASP.NET中的一个组件，它可以用于处理HTTP请求。通过Ashx，我们可以创建自己的HTTP处理程序，实现定制的业务逻辑。 3. JSON是什么？ JSON（JavaScript Object Notation）是一种轻量级的数据交换格式，它基于JavaScript的一个子集。它易于人阅读和编写，同时也易于机器解析和生成。 4. 如何使用Ashx处理JSON数据？ 首先，我们需要定义一个Ashx方法来处理我们的请求。这个方法呐，它得接收一个叫“request”的小家伙作为参数，其实呢，这玩意儿就是一个HttpApplicationRequest对象，里头装着这次请求的所有详细信息，一丁点儿也没落下。 csharp public void HandleHttpRequest(HttpContext context) { // 获取请求的内容 string requestContent = context.Request.InputStream.ReadToEnd(); // 将请求内容转换为JSON对象 dynamic jsonObject = JsonConvert.DeserializeObject(requestContent); // 在这里处理你的JSON数据... // 返回响应 context.Response.Write("处理成功"); } 在这个方法中，我们首先获取了请求的内容，然后使用JsonConvert.DeserializeObject方法将其转换为一个动态类型的JSON对象。这样，我们就可以方便地访问和操作JSON数据了。 5. 总结 Ashx是一个强大的工具，可以帮助我们在ASP.NET中处理各种HTTP请求。尤其是当我们碰上要处理JSON数据这事儿，用Ashx可是能帮咱们省不少力，让事情变得轻松简单多了。当你把请求的内容成功转换成JSON格式后，就等于把它变成一个我们熟悉的.NET对象，这样一来，处理JSON数据就跟玩普通.NET对象一样简单轻松，毫无压力啦！ 6. 深入探讨 然而，这只是一个基础的例子。实际上，我们可以使用Ashx做更多的事情。比如说，咱们可以在动手解析JSON数据之前，先给请求做个“体检”确认其靠谱性；又或者，在我们成功搞定数据之后，再添点额外的“小料”，让它更加饱满丰富。 此外，我们也需要注意安全问题。虽然“JsonConvert.DeserializeObject”这个小家伙能够自动挡下不少常见的JSON攻击招式，但我们仍然得瞪大眼睛，确保喂给它的数据确实是货真价实、没毛病的。 总的来说，Ashx是一个非常有用的工具，但我们也需要谨慎使用，以防止可能的安全问题。

...，还能大大提升我们的工作效率，省去很多头疼的时刻呢。 2. Go语言中的错误处理 Go语言有一个非常独特且强大的错误处理机制，那就是通过error接口来表示错误。这个接口非常简单，只有一个方法Error()，用于返回一个字符串，这个字符串就是错误信息。 go type error interface { Error() string } 这种设计使得Go语言在处理错误时非常灵活。我们可以自定义任何类型的错误，并通过Error()方法返回具体的错误信息。但是有个重点啊：错误信息得尽量详细清楚，这样我们才能迅速找到问题出在哪。 2.1 错误信息的重要性 错误信息不仅仅是给程序员看的，它还可能被最终用户看到。因此，在编写错误信息时，我们需要考虑两方面： - 面向开发者：确保错误信息足够具体，能够帮助开发者迅速定位问题。 - 面向用户：保持友好性和简洁性，避免暴露过多的技术细节。 举个例子，假设你的应用程序需要从数据库读取数据，但数据库连接失败了。一个好的错误信息可能是：“无法连接到数据库，请检查您的网络连接或联系管理员。这种信息不仅说清楚了问题的来龙去脉（就是数据库连不上），还给咱指了个大概的解决方向呢。 3. 实践中的错误处理 在实际项目中，错误处理是一个贯穿始终的过程。从最简单的错误检查，到复杂的错误链路追踪，每一步都至关重要。让我们来看几个具体的例子，看看如何在Go中实现有效的错误处理。 3.1 基础的错误检查 最基本也是最常见的错误处理方式，就是在函数调用后立即检查返回的错误值。如果错误不为nil，则进一步处理。 go func main() { file, err := os.Open("test.txt") if err != nil { fmt.Println("打开文件失败:", err) return } defer file.Close() // 继续处理文件... } 在这个例子中，我们尝试打开一个名为“test.txt”的文件。如果文件不存在或者权限不足等导致操作失败，os.Open()会返回一个非空的错误对象。通过检查这个错误对象，我们可以及时发现并处理问题。 3.2 使用错误链路 在复杂的应用中，一个操作可能会触发多个后续步骤，每个步骤都可能产生新的错误。在这种情况下，错误链路（即错误传播）变得尤为重要。我们可以利用Go语言的多返回值特性来实现这一点。 go func readConfig(filePath string) (map[string]string, error) { file, err := os.Open(filePath) if err != nil { return nil, fmt.Errorf("打开配置文件失败: %w", err) } defer file.Close() var config map[string]string decoder := json.NewDecoder(file) if err := decoder.Decode(&config); err != nil { return nil, fmt.Errorf("解析配置文件失败: %w", err) } return config, nil } func main() { config, err := readConfig("config.json") if err != nil { log.Fatalf("读取配置文件失败: %v", err) } // 使用配置... } 在这个例子中，readConfig函数尝试打开并解析一个JSON格式的配置文件。如果任何一步失败，我们都会返回一个包含原始错误的错误对象。这样做不仅可以让错误信息更加完整，还便于我们在调用方进行统一处理。 3.3 自定义错误类型 虽然标准库提供的error接口已经足够强大，但在某些场景下，我们可能需要更丰富的错误信息。这时，可以定义自己的错误类型来扩展功能。 go type MyError struct { Message string Code int } func (e MyError) Error() string { return fmt.Sprintf("错误代码%d: %s", e.Code, e.Message) } func doSomething() error { return &MyError{Message: "操作失败", Code: 500} } func main() { err := doSomething() if err != nil { log.Printf("发生错误: %v", err) } } 在这个例子中，我们定义了一个自定义错误类型MyError，它包含了一个消息和一个错误码。这样做的好处是可以根据不同的错误码采取不同的处理策略。 4. 错误信息的最佳实践 最后，我想分享一些我在日常开发中积累的经验，这些经验有助于写出更好的错误信息。 - 明确且具体：错误信息应该直接指出问题所在，避免模糊不清的描述。 - 用户友好的：对于最终用户可见的错误信息，尽量使用通俗易懂的语言。 - 提供解决方案：如果可能的话，给出一些基本的解决建议。 - 避免泄露敏感信息：在生成错误信息时，注意不要暴露敏感数据，如密码或密钥。 结语 错误信息是我们与程序之间的桥梁，它能帮助我们更好地理解问题所在，并找到解决问题的方法。在Go语言里，错误处理不仅仅是个技术活儿，它还代表着一种态度——就是要做出高质量的软件的那种执着精神。希望通过这篇文章，你能在未来的项目中更加重视错误信息的处理，从而写出更加健壮和可靠的代码。 --- 以上内容结合了理论与实践，旨在让你对Go语言中的错误处理有更深的理解。记住，好的错误信息就像是一位优秀的导游，它能带你穿越迷雾，找到正确的方向。

...成实例 3.1 准备工作 3.2 实验代码 3.3 实验结果与分析 参考（可供参考的链接和引用文献） 1. 作者介绍 王逸腾，男，西安工程大学电子信息学院，2022级硕士研究生 研究方向：三维手部姿态和网格估计 电子邮件：2978558373@qq.com 路治东，男，西安工程大学电子信息学院，2022级研究生，张宏伟人工智能课题组 研究方向：机器视觉与人工智能 电子邮件：2063079527@qq.com 2. 算法介绍 2.1 阿里云介绍 阿里云创立于2009年，是全球领先的云计算及人工智能科技公司，致力于以在线公共服务的方式，提供安全、可靠的计算和数据处理能力，让计算和人工智能成为普惠科技。阿里云服务着制造、金融、政务、交通、医疗、电信、能源等众多领域的领军企业，包括中国联通、12306、中石化、中石油、飞利浦、华大基因等大型企业客户，以及微博、知乎、锤子科技等明星互联网公司。在天猫双11全球狂欢节、12306春运购票等极富挑战的应用场景中，阿里云保持着良好的运行纪录 阿里云在全球各地部署高效节能的绿色数据中心，利用清洁计算为万物互联的新世界提供源源不断的能源动力，开服的区域包括中国（华北、华东、华南、香港）、新加坡、美国（美东、美西）、欧洲、中东、澳大利亚、日本 猿辅导、中泰证券、小米、媛福达、Soul和当贝，这些我们耳熟能详的APP或企业中，阿里云给他们提供了性能强大、安全、稳定的云产品与服务。 计算，容器，存储，网络与CDN，安全、中间件、数据库、大数据计算、人工智能与机器学习、媒体服务、企业服务与云通信、物联网、开发工具、迁移与运维管理和专有云等方面，阿里云都做的很不错。 2.2 证件照生成背景 传统做法：通常是人工进行P图，不仅费时费力，而且效果也很难保障，容易有瑕疵。 机器学习做法：通常利用边缘检测算法进行人物轮廓提取。 深度学习做法：通常使用分割算法进行人物分割。例如U-Net网络。 2.3 图像分割算法 《BiHand: Recovering Hand Mesh with Multi-stage Bisected Hourglass Networks》里的SeedNet网络是很经典的网络，它把分割任务转变成多个任务。作者的思想是：尽可能的通过多任务学习收拢语义，这样或许会分割的更好或姿态估计的更好。其实这个模型就是多阶段学习网络的一部分，作者想通过中间监督来提高网络的性能。 我提取bihand网络中的SeedNet与训练权重，进行分割结果展示如下 我是用的模型不是全程的，是第一阶段的。为了可视化出最好的效果，我把第一阶段也就是SeedNet网络的输出分别采用不同的方式可视化。 从左边数第一张图为原图，第二张图为sigmoid后利用plt.imshow(colored_mask, cmap=‘jet’)进行彩色映射。第三张图为网络输出的张量经过sigmoid后，二色分割图，阀闸值0.5。第四张为网络的直接输出，利用直接产生的张量图进行颜色映射。第五张为使用sigmoid处理张量后进行的颜色映射。第六张为使用sigmoid处理张量后进行0,1分割掩码映射。使用原模型和网络需要添加很多代码。下面为修改后的的代码： 下面为修改后的net_seedd代码： Copyright (c) Lixin YANG. All Rights Reserved.r"""Networks for heatmap estimation from RGB images using Hourglass Network"Stacked Hourglass Networks for Human Pose Estimation", Alejandro Newell, Kaiyu Yang, Jia Deng, ECCV 2016"""import numpy as npimport torchimport torch.nn as nnimport torch.nn.functional as Ffrom skimage import io,transform,utilfrom termcolor import colored, cprintfrom bihand.models.bases.bottleneck import BottleneckBlockfrom bihand.models.bases.hourglass import HourglassBisectedimport bihand.utils.func as funcimport matplotlib.pyplot as pltfrom bihand.utils import miscimport matplotlib.cm as cmdef color_mask(output_ok): 颜色映射cmap = plt.cm.get_cmap('jet') 将张量转换为numpy数组mask_array = output_ok.detach().numpy() 创建彩色图像cmap = cm.get_cmap('jet')colored_mask = cmap(mask_array)return colored_mask 可视化 plt.imshow(colored_mask, cmap='jet') plt.axis('off') plt.show()def two_color(mask_tensor): 将张量转换为numpy数组mask_array = mask_tensor.detach().numpy() 将0到1之间的值转换为二值化掩码threshold = 0.5 阈值，大于阈值的为白色，小于等于阈值的为黑色binary_mask = np.where(mask_array > threshold, 1, 0)return binary_mask 可视化 plt.imshow(binary_mask, cmap='gray') plt.axis('off') plt.show()class SeedNet(nn.Module):def __init__(self,nstacks=2,nblocks=1,njoints=21,block=BottleneckBlock,):super(SeedNet, self).__init__()self.njoints = njointsself.nstacks = nstacksself.in_planes = 64self.conv1 = nn.Conv2d(3, self.in_planes, kernel_size=7, stride=2, padding=3, bias=True)self.bn1 = nn.BatchNorm2d(self.in_planes)self.relu = nn.ReLU(inplace=True)self.maxpool = nn.MaxPool2d(2, stride=2)self.layer1 = self._make_residual(block, nblocks, self.in_planes, 2self.in_planes) current self.in_planes is 64 2 = 128self.layer2 = self._make_residual(block, nblocks, self.in_planes, 2self.in_planes) current self.in_planes is 128 2 = 256self.layer3 = self._make_residual(block, nblocks, self.in_planes, self.in_planes)ch = self.in_planes 256hg2b, res1, res2, fc1, _fc1, fc2, _fc2= [],[],[],[],[],[],[]hm, _hm, mask, _mask = [], [], [], []for i in range(nstacks): 2hg2b.append(HourglassBisected(block, nblocks, ch, depth=4))res1.append(self._make_residual(block, nblocks, ch, ch))res2.append(self._make_residual(block, nblocks, ch, ch))fc1.append(self._make_fc(ch, ch))fc2.append(self._make_fc(ch, ch))hm.append(nn.Conv2d(ch, njoints, kernel_size=1, bias=True))mask.append(nn.Conv2d(ch, 1, kernel_size=1, bias=True))if i < nstacks-1:_fc1.append(nn.Conv2d(ch, ch, kernel_size=1, bias=False))_fc2.append(nn.Conv2d(ch, ch, kernel_size=1, bias=False))_hm.append(nn.Conv2d(njoints, ch, kernel_size=1, bias=False))_mask.append(nn.Conv2d(1, ch, kernel_size=1, bias=False))self.hg2b = nn.ModuleList(hg2b) hgs: hourglass stackself.res1 = nn.ModuleList(res1)self.fc1 = nn.ModuleList(fc1)self._fc1 = nn.ModuleList(_fc1)self.res2 = nn.ModuleList(res2)self.fc2 = nn.ModuleList(fc2)self._fc2 = nn.ModuleList(_fc2)self.hm = nn.ModuleList(hm)self._hm = nn.ModuleList(_hm)self.mask = nn.ModuleList(mask)self._mask = nn.ModuleList(_mask)def _make_fc(self, in_planes, out_planes):bn = nn.BatchNorm2d(in_planes)conv = nn.Conv2d(in_planes, out_planes, kernel_size=1, bias=False)return nn.Sequential(conv, bn, self.relu)def _make_residual(self, block, nblocks, in_planes, out_planes):layers = []layers.append( block( in_planes, out_planes) )self.in_planes = out_planesfor i in range(1, nblocks):layers.append(block( self.in_planes, out_planes))return nn.Sequential(layers)def forward(self, x):l_hm, l_mask, l_enc = [], [], []x = self.conv1(x) x: (N,64,128,128)x = self.bn1(x)x = self.relu(x)x = self.layer1(x)x = self.maxpool(x) x: (N,128,64,64)x = self.layer2(x)x = self.layer3(x)for i in range(self.nstacks): 2y_1, y_2, _ = self.hg2b[i](x)y_1 = self.res1[i](y_1)y_1 = self.fc1[i](y_1)est_hm = self.hm[i](y_1)l_hm.append(est_hm)y_2 = self.res2[i](y_2)y_2 = self.fc2[i](y_2)est_mask = self.mask[i](y_2)l_mask.append(est_mask)if i < self.nstacks-1:_fc1 = self._fc1[i](y_1)_hm = self._hm[i](est_hm)_fc2 = self._fc2[i](y_2)_mask = self._mask[i](est_mask)x = x + _fc1 + _fc2 + _hm + _maskl_enc.append(x)else:l_enc.append(x + y_1 + y_2)assert len(l_hm) == self.nstacksreturn l_hm, l_mask, l_encif __name__ == '__main__':a = torch.randn(10, 3, 256, 256) SeedNetmodel = SeedNet() output1,output2,output3 = SeedNetmodel(a) print(output1,output2,output3)total_params = sum(p.numel() for p in SeedNetmodel.parameters())/1000000print("Total parameters: ", total_params)pretrained_weights_path = 'E:/bihand/released_checkpoints/ckp_seednet_all.pth.tar'img_rgb_path=r"E:\FreiHAND\training\rgb\00000153.jpg"img=io.imread(img_rgb_path)resized_img = transform.resize(img, (256, 256), anti_aliasing=True)img256=util.img_as_ubyte(resized_img)plt.imshow(resized_img)plt.axis('off') 关闭坐标轴plt.show()''' implicit HWC -> CHW, 255 -> 1 '''img1 = func.to_tensor(img256).float() 转换为张量并且进行标准化处理''' 0-mean, 1 std, [0,1] -> [-0.5, 0.5] '''img2 = func.normalize(img1, [0.5, 0.5, 0.5], [1, 1, 1])img3 = torch.unsqueeze(img2, 0)ok=img3print(img.shape)SeedNetmodel = SeedNet()misc.load_checkpoint(SeedNetmodel, pretrained_weights_path)加载权重output1, output2, output3 = SeedNetmodel(img3)mask_tensor = torch.rand(1, 64, 64)output=output2[1] 1,1,64,64output_1=output[0] 1,64,64output_ok=torch.sigmoid(output_1[0])output_real=output_1[0].detach().numpy()直接产生的张量图color_mask=color_mask(output_ok) 显示彩色分割图two_color=two_color(output_ok)显示黑白分割图see=output_ok.detach().numpy() 使用Matplotlib库显示分割掩码 plt.imshow(see, cmap='gray') plt.axis('off') plt.show() print(output1, output2, output3)images = [resized_img, color_mask, two_color,output_real,see,see]rows = 1cols = 4 创建子图并展示图像fig, axes = plt.subplots(1, 6, figsize=(30, 5)) 遍历图像列表，并在每个子图中显示图像for i, image in enumerate(images):ax = axes[i] if cols > 1 else axes 如果只有一列，则直接使用axesif i ==5:ax.imshow(image, cmap='gray')else:ax.imshow(image)ax.imshowax.axis('off') 调整子图之间的间距plt.subplots_adjust(wspace=0.1, hspace=0.1) 展示图像plt.show() 上述的代码文件是在bihand/models/net_seed.py中，全部代码链接在https://github.com/lixiny/bihand。 把bihand/models/net_seed.p中的代码修改为我提供的代码即可使用作者训练好的模型和进行各种可视化。（预训练模型根据作者代码提示下载） 3.调用阿里云API进行证件照生成实例 3.1 准备工作 1.找到接口 进入下面链接即可快速访问 link 2.购买试用包 3.查看APPcode 4.下载代码 5.参数说明 3.2 实验代码 !/usr/bin/python encoding: utf-8"""===========================证件照制作接口==========================="""import requestsimport jsonimport base64import hashlibclass Idphoto:def __init__(self, appcode, timeout=7):self.appcode = appcodeself.timeout = timeoutself.make_idphoto_url = 'https://idp2.market.alicloudapi.com/idphoto/make'self.headers = {'Authorization': 'APPCODE ' + appcode,}def get_md5_data(self, body):"""md5加密:param body_json::return:"""md5lib = hashlib.md5()md5lib.update(body.encode("utf-8"))body_md5 = md5lib.digest()body_md5 = base64.b64encode(body_md5)return body_md5def get_photo_base64(self, file_path):with open(file_path, 'rb') as fp:photo_base64 = base64.b64encode(fp.read())photo_base64 = photo_base64.decode('utf8')return photo_base64def aiseg_request(self, url, data, headers):resp = requests.post(url=url, data=data, headers=headers, timeout=self.timeout)res = {"status_code": resp.status_code}try:res["data"] = json.loads(resp.text)return resexcept Exception as e:print(e)def make_idphoto(self, file_path, bk, spec="2"):"""证件照制作接口:param file_path::param bk::param spec::return:"""photo_base64 = self.get_photo_base64(file_path)body_json = {"photo": photo_base64,"bk": bk,"with_photo_key": 1,"spec": spec,"type": "jpg"}body = json.dumps(body_json)body_md5 = self.get_md5_data(body=body)self.headers.update({'Content-MD5': body_md5})data = self.aiseg_request(url=self.make_idphoto_url, data=body, headers=self.headers)return dataif __name__ == "__main__":file_path = "图片地址"idphoto = Idphoto(appcode="你的appcode")d = idphoto.make_idphoto(file_path, "red", "2")print(d) 3.3 实验结果与分析 原图片 背景为红色生成的证件照 背景为蓝色生成的证件照 另外尝试了使用柴犬照片做实验，也生成了证件照 原图 背景为红色生成的证件照 参考（可供参考的链接和引用文献） 1.参考：BiHand: Recovering Hand Mesh with Multi-stage Bisected Hourglass Networks（BMVC2020） 论文链接：https://arxiv.org/pdf/2008.05079.pdf 本篇文章为转载内容。原文链接：https://blog.csdn.net/m0_37758063/article/details/131128967。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

替换近义词对：JSON是一种轻量级的数据传输格式，广泛应用于Web开发中的数据传输。它采用键值对的形式进行数据表达，而其中的数组则是一种特殊的数据组织方式，可以在解读和传输大规模数据时起到很好的作用。 替换近义词对：JSON数组是一种排列的项目集，其中每个项目可以是任何类型的数据，同样也可以是对象或者内含的其他数组。数组的描述采用中括号环绕，每个成员之间采用逗号间隔。 [ "apple", "banana", "orange", { "name": "Tom", "age": 30, "sex": "male" }, [1, 2, 3] ] 替换近义词对：在JavaScript中，通常采用JSON.parse()方法对JSON数据进行解读。JSON.parse()方法将JSON文本串转化为JS对象，而其中包括了JSON数组。我们可以利用for循环或者forEach等方法逐一访问JSON数组中的每个成员。 var jsonStr = '["apple","banana","orange",{"name":"Tom","age":30,"sex":"male"},[1,2,3]]'; var jsonArray = JSON.parse(jsonStr); for (var i=0; i 在逐一访问JSON数组时，需要注意一些要点。如果项目是对象或者内含的数组，我们需要重复使用for循环或者相应的方法逐一访问其中的子项目。如果项目是基本类型，直接作为普通的变量采用即可。 var jsonArray = ['apple','banana','orange',{name:'Tom',age:30,sex:'male'},[1,2,3]]; for (var i=0; i 总结：JSON数组作为JSON数据格式的重要组成部分，在Web开发中具有十分广泛的应用。我们可以采用JSON.parse()方法对JSON数据进行解读，并采用for循环或者其他方法逐一访问其中的每个成员。

...JavaScript结构，合格单元测试可以帮助程序员提升脚本的品质和可靠性。Vue的单元测试可以合格一系列的软件来实现，包括Jest、Mocha和Chai等软件。 在使用Vue进行单元测试之前，需要先设定好测试环境。这里以Jest为例来介绍Vue的单元测试。首先，在项目中下载安装Jest： npm install --save-dev jest 然后，在package.json中增加以下脚本： "scripts": { "test": "jest" } 这样就可以使用npm run test指令来执行测试。接下来，我们可以编写一个测试用例来测试Vue模块的准确性： // Hello.vue <template> <div> <p>Hello { { name } }!</p> </div> </template> <script> export default { props: { name: { type: String, required: true } } } </script> // Hello.spec.js import { shallowMount } from '@vue/test-utils' import Hello from '@/components/Hello.vue' describe('Hello.vue', () =>{ it('renders props.name when passed', () =>{ const name = 'World' const wrapper = shallowMount(Hello, { propsData: { name } }) expect(wrapper.text()).toMatch(Hello ${name}!) }) }) 执行npm run test指令后，控制台会显示测试结果。如果测试合格，即表示我们的Vue模块能够正确展现预测的字符串。

...ON（Binary JSON）是一种二进制格式，用于在MongoDB中存储和传输数据。它类似于JSON，但增加了对二进制数据、日期和其他特殊数据类型的支持，使得MongoDB能够高效地处理复杂的数据结构，并在数据库内部以紧凑的形式存储数据。 Strict Mode（严格模式） , 在MongoDB 5.0及更高版本中，严格模式是一项可选配置，旨在增强集合级别的数据验证能力。启用严格模式后，MongoDB将在插入或更新文档时，强制执行字段类型和schema的匹配，如果数据类型不一致，则操作将失败，从而防止因字段类型不匹配导致的错误和数据异常。 数据清洗 , 数据清洗是数据分析过程中的一个重要环节，主要指对原始数据进行预处理，包括但不限于去除重复值、填充缺失值、纠正错误值以及转换数据类型等工作。在文章的语境中，通过使用Pandas库等工具对从API或其他非结构化源获取的数据进行数据清洗，确保数据满足MongoDB字段类型的要求，从而避免字段类型不匹配的问题。

...勇之旅。我将通过这次经历来分享一些实用的解决方案和技巧，希望能帮助你在Go Iris框架中解决这个常见问题。 1. 初识Go Iris 首先，让我们简单回顾一下Go Iris。Go Iris是一个用Go语言写的Web框架，它给了开发者一套简单又强大的工具，让你能轻松搞定高性能的网站。不过，就像任何其他框架一样，它也有自己的特性和陷阱。今天，我们就聚焦于表单数据提交失败这个问题。 2. 数据提交失败的原因分析 在开始之前，我们先要了解数据提交失败可能的原因。通常，这类问题可以归结为以下几点： - 前端表单配置错误：比如表单字段名不匹配、缺少必要的字段等。 - 后端验证逻辑错误：如忘记添加验证规则、验证规则设置不当等。 - 编码问题：比如表单编码类型（Content-Type）设置错误。 接下来，我们将逐一排查这些问题，并给出相应的解决方案。 3. 前端表单配置错误 示例1：表单字段名不匹配 假设我们在前端表单中定义了一个名为username的输入框，但在后端接收时却命名为user_name。这种情况会导致数据提交失败。我们需要确保前后端字段名称一致。 html Submit go // 后端处理 import ( "github.com/kataras/iris/v12" ) func submit(ctx iris.Context) { var form struct { Username string validate:"required" } if err := ctx.ReadForm(&form); err != nil { ctx.StatusCode(iris.StatusBadRequest) ctx.JSON(map[string]string{"error": "Invalid form data"}) return } // 处理表单数据... } 在这个例子中，我们需要确保name="username"与结构体中的字段名一致。 示例2：缺少必要字段 如果表单缺少了必要的字段，同样会导致数据提交失败。例如，如果我们需要email字段，但表单中没有包含它。 html Submit go // 后端处理 import ( "github.com/kataras/iris/v12" ) func submit(ctx iris.Context) { var form struct { Username string validate:"required" Email string validate:"required,email" } if err := ctx.ReadForm(&form); err != nil { ctx.StatusCode(iris.StatusBadRequest) ctx.JSON(map[string]string{"error": "Missing required fields"}) return } // 处理表单数据... } 在这个例子中，我们需要确保所有必要字段都存在于表单中，并且在后端正确地进行了验证。 4. 后端验证逻辑错误 示例3：忘记添加验证规则 有时候，我们可能会忘记给某个字段添加验证规则，导致数据提交失败。比如说，我们忘了给password字段加上最小长度的限制。 html Submit go // 后端处理 import ( "github.com/kataras/iris/v12" "github.com/asaskevich/govalidator" ) func submit(ctx iris.Context) { var form struct { Username string valid:"required" Password string valid:"required" } if _, err := govalidator.ValidateStruct(form); err != nil { ctx.StatusCode(iris.StatusBadRequest) ctx.JSON(map[string]string{"error": "Validation failed: " + err.Error()}) return } // 处理表单数据... } 在这个例子中，我们需要确保所有字段都有适当的验证规则，并且在后端正确地进行了验证。 示例4：验证规则设置不当 验证规则设置不当也会导致数据提交失败。比如，我们本来把minlen设成了6，但其实得要8位以上的密码才安全。 html Submit go // 后端处理 import ( "github.com/kataras/iris/v12" "github.com/asaskevich/govalidator" ) func submit(ctx iris.Context) { var form struct { Username string valid:"required" Password string valid:"minlen=8" } if _, err := govalidator.ValidateStruct(form); err != nil { ctx.StatusCode(iris.StatusBadRequest) ctx.JSON(map[string]string{"error": "Validation failed: " + err.Error()}) return } // 处理表单数据... } 在这个例子中，我们需要确保验证规则设置得当，并且在后端正确地进行了验证。 5. 编码问题 示例5：Content-Type 设置错误 如果表单的Content-Type设置错误，也会导致数据提交失败。例如，如果我们使用application/json而不是application/x-www-form-urlencoded。 html Submit go // 后端处理 import ( "github.com/kataras/iris/v12" ) func submit(ctx iris.Context) { var form struct { Username string validate:"required" Password string validate:"required" } if err := ctx.ReadJSON(&form); err != nil { ctx.StatusCode(iris.StatusBadRequest) ctx.JSON(map[string]string{"error": "Invalid JSON data"}) return } // 处理表单数据... } 在这个例子中，我们需要确保Content-Type设置正确，并且在后端正确地读取了数据。 6. 结论 通过以上几个示例，我们可以看到，解决表单数据提交失败的问题需要从多个角度进行排查。不管是前端的表单设置、后端的验证规则还是代码里的小毛病，咱们都得仔仔细细地检查和调整才行。希望这些示例能帮助你更好地理解和解决这个问题。如果你还有其他问题或者发现新的解决方案，欢迎在评论区交流！ 最后，我想说的是，编程之路充满了挑战和乐趣。每一次解决问题的过程都是成长的机会。希望这篇文章能给你带来一些启发和帮助！

...TTP状态码200，表示“妥了，兄弟，你的请求我成功处理了”。而要是请求出岔子了，那就等于收到了一个“NO”，这时候，服务器可能会甩给你一个400或者500的HTTP状态码，意思是：“哎呀，老铁，你的请求有点问题，不是格式不对（400），就是服务器这边内部出了状况（500）。” 3. 使用标准的HTTP方法 HTTP定义了8种方法，包括GET, POST, PUT, DELETE, HEAD, OPTIONS, CONNECT和TRACE。应该始终使用这些方法，而不是自定义的方法。 4. 使用URI来表示资源 URI是统一资源标识符，它是唯一标识资源的方式。应该使用URI来表示资源，而不是使用ID或其他非唯一的标识符。 5. 使用HTTP头部信息 HTTP头部信息可以提供关于请求或响应的附加信息。应该尽可能使用HTTP头部信息来提高API的功能性。 6. 返回适当的格式 应该根据客户端的需求返回适当的数据格式，例如JSON或XML。 五、示例代码 以下是一个使用Beego创建RESTful API的简单示例： go package main import ( "github.com/astaxie/beego" ) type User struct { Id int json:"id" Name string json:"name" Email string json:"email" } func main() { beego.Router("/users/:id", &UserController{}) beego.Run() } type UserController struct{} func (u UserController) Get(ctx beego.Controller) { id := ctx.Params.Int(":id") user := &User{Id: id, Name: "John Doe", Email: "john.doe@example.com"} ctx.JSON(200, user) } 在这个示例中，我们首先导入了beego包，然后定义了一个User结构体。然后我们在main函数中设置了路由，当收到GET /users/:id请求时，调用UserController的Get方法。 在Get方法中，我们从URL参数中获取用户ID，然后创建一个新的User对象，并将其转换为JSON格式，最后返回给客户端。 这就是使用Beego创建RESTful API的一个简单示例。当然，这只是一个基础的例子，实际的API可能会更复杂。不过呢，只要你按照上面提到的设计原则来，就能轻轻松松地设计出既高效又超级好用的RESTful API，保证让你省心省力。

1. JSON解析不分大小写 为什么这很重要？ 嘿，大家好！今天我们要聊的是JSON解析中一个常常被忽视但又极其重要的特性——大小写不敏感。这个功能在实际开发里超级实用，特别是当你得对付来自四面八方的数据时，比如说处理API请求或用户填的表单啥的。 想象一下，你正在开发一款应用，需要从服务器获取一些数据，这些数据可能是通过API返回的。不过嘛，服务器那边可能有其他的程序员在维护，他们的大小写风格可能会跟你不一样，给字段起的名字也会有所不同。如果我们解析器的本事不够强，那我们就得不停地改代码，来迁就各种奇葩的命名规矩。这听上去是不是挺麻烦的？所以，知道并用上JSON解析时的大小写不敏感特性，就能让我们的工作轻松不少。 2. JSON的基本概念 在深入讨论之前，先简单回顾一下什么是JSON。JSON（JavaScript Object Notation）是一种轻量级的数据交换格式。它基于JavaScript的一个子集，但实际上几乎所有的编程语言都有库支持JSON解析和生成。 示例1：基本的JSON对象 json { "name": "张三", "age": 28, "is_student": false, "hobbies": ["阅读", "编程", "旅行"] } 在这个简单的例子中，我们可以看到一个包含字符串、数字、布尔值和数组的对象。每个键都是一个字符串，并且它们之间是区分大小写的。不过呢，当我们解析这个JSON时，解析器通常会把键的大小写统统忽略掉，直接给它们统一成小写。 3. 解析器如何处理大小写 现在，让我们来看看具体的解析过程。现在大部分编程语言都自带了超级好用的JSON解析工具，用它们来处理JSON数据时，根本不用操心大小写的问题，特别省心。它们会将所有键转换为一种标准形式，通常是小写。这就表示，就算你开始时在原始的JSON里用了大写或大小写混用，最后这些键还是会自动变成小写。 示例2：大小写不敏感的解析 假设我们有以下JSON数据： json { "Name": "李四", "AGE": 35, "Is_Student": true, "Hobbies": ["足球", "音乐"] } 如果我们使用Python的json库来解析这段数据： python import json data = '{"Name": "李四", "AGE": 35, "Is_Student": true, "Hobbies": ["足球", "音乐"]}' parsed_data = json.loads(data) print(parsed_data) 输出将是： python {'name': '李四', 'age': 35, 'is_student': True, 'hobbies': ['足球', '音乐']} 可以看到，所有的键都被转换成了小写。这就意味着我们在后面处理数据的时候，可以更轻松地找到这些键，完全不需要担心大小写的问题。 4. 实际开发中的应用 理解了这个特性之后，我们在实际开发中应该如何应用呢？首先，我们需要确保我们的代码能够正确处理大小写不同的情况。比如说，在拿数据的时候，咱们最好每次都确认一下键名是不是小写，别直接用固定的大小写硬来。 示例3：处理大小写不一致的情况 假设我们有一个函数，用于从用户输入的JSON数据中提取姓名信息： python def get_name(json_data): data = json.loads(json_data) return data.get('name') or data.get('NAME') or data.get('Name') 测试 json_input1 = '{"name": "王五"}' json_input2 = '{"NAME": "赵六"}' json_input3 = '{"Name": "孙七"}' print(get_name(json_input1)) 输出: 王五 print(get_name(json_input2)) 输出: 赵六 print(get_name(json_input3)) 输出: 孙七 在这个例子中，我们通过get方法尝试获取三个可能的键名（'name'、'NAME'、'Name'），确保无论用户输入的JSON数据中使用哪种大小写形式，我们都能正确提取到姓名信息。 5. 结论与思考 通过今天的讨论，我们了解到JSON解析中的大小写不敏感特性是一个非常有用的工具。它可以帮助我们减少因大小写不一致带来的错误，提高代码的健壮性和可维护性。当然，这并不意味着我们可以完全把大小写的事儿抛在脑后，而是说我们应该用更灵活的方式去应对它们。 希望这篇文章能帮助你更好地理解和利用这一特性。如果你有任何疑问或者想法，欢迎在评论区留言交流。咱们下次再见！

...、引言 在我们日常的工作中，经常需要处理各种数据，其中一种常见的数据格式就是JSON（JavaScript Object Notation）。它是一种轻量级的数据交换格式，易于人阅读和编写，同时也易于机器解析和生成。 然而，就像所有的编程语言一样，在处理JSON时也会遇到各种各样的异常情况，如语法错误、类型转换错误等。这些小异常如果不及时处理好，就像颗定时炸弹一样，随时可能让程序罢工，甚至把我们的宝贵数据给弄丢，这样一来，咱们的工作效率可就要大打折扣啦！ 因此，本文将重点介绍如何通过编程来处理JSON的各种异常，帮助我们在实际工作中更好地应对可能出现的问题。 二、常见JSON异常 1. JSON语法错误 JSON语法错误通常是因为JSON字符串不符合语法规则，例如缺少引号、括号不匹配、逗号错误等。以下是一个简单的例子： javascript var json = '{"name":"John","age":30,"city":"New York"}'; 这个JSON字符串是合法的，但如果我们将最后一个逗号去掉，就变成了这样： javascript var json = '{"name":"John","age":30,"city":"New York"}; 这就是一个语法错误，因为JSON语句末尾不应该出现分号。 2. JSON类型错误 JSON类型错误通常是因为JSON数据的类型与预期不符，例如我们期望的是字符串，但实际上得到了数字或者布尔值。以下是一个例子： javascript var json = '{"name":"John", "age": 30, "city": true}'; 在这个例子中，我们期望"city"字段的值是一个字符串，但实际上它是true。这就造成了类型错误。 三、异常处理方法 对于JSON语法错误，我们可以使用JSON.parse()函数的第二个参数来捕获并处理错误。这个参数啊，其实是个“救火队长”类型的回调函数。一旦解析过程中出现了啥岔子，它就会被立马召唤出来干活儿，而且人家干活的时候还不会两手空空，会带着一个包含了错误信息的“包裹”（也就是错误对象）一起处理问题。 javascript try { var data = JSON.parse(json); } catch (e) { console.error('Invalid JSON:', e.message); } 对于JSON类型错误，我们需要根据具体的业务逻辑来决定如何处理。比如，如果某个地方可以容纳各种各样的值，那咱们就可以痛快地把它变成我们需要的类型；要是某个地方非得是某种特定类型不可，那咱就得果断抛出一个错误提示，让大家都明白。 javascript var json = '{"name":"John", "age": 30, "city": true}'; try { var data = JSON.parse(json); if (typeof data.city === 'boolean') { data.city = data.city.toString(); } } catch (e) { console.error('Invalid JSON:', e.message); } 四、总结 在处理JSON时，我们应该充分考虑到可能出现的各种异常情况，并做好相应的异常处理工作。这不仅可以保证程序的稳定性，也可以提高我们的工作效率。 同时，我们也应该尽可能地避免产生异常。比如说，咱们得保证咱们的JSON字符串老老实实地遵守语法规则，同时呢，还得像个侦探一样，对可能出现的各种类型错误提前做好排查和预防工作，别让它们钻了空子。 总的来说，掌握好JSON的异常处理方法，是我们成为一名优秀的开发者的重要一步。希望这篇文章能够对你有所帮助。

...park.read.json(rdd.map(_.value())) // 进一步处理数据... } // 开始处理流数据 ssc.start() ssc.awaitTermination() 4.2 利用DataFrame API简化数据处理 Spark的DataFrame API提供了一种结构化的方式来处理数据，使得我们可以更容易地编写复杂的查询。下面是一个使用DataFrame API处理数据的例子： scala // 假设我们已经有了一个DataFrame df import spark.implicits._ // 添加一个新的列 val enrichedDF = df.withColumn("timestamp", current_timestamp()) // 保存处理后的数据 enrichedDF.write.mode("append").json("hdfs://path/to/enriched_data") 4.3 弹性分布式数据集（RDD）的优势 Spark的核心概念之一就是RDD。RDD是一种不可变的、分区的数据集合，支持并行操作。这对于处理物联网设备产生的数据特别有用。下面是一个使用RDD的例子： scala // 创建一个简单的RDD val dataRDD = spark.sparkContext.parallelize(Seq(1, 2, 3, 4, 5)) // 对RDD进行映射操作 val mappedRDD = dataRDD.map(x => x 2) // 收集结果 val result = mappedRDD.collect() println(result.mkString(", ")) 4.4 容错机制 Spark的容错机制是其一大亮点。它通过RDD的血统信息（即RDD的操作历史）来重新计算丢失的数据。这就让Spark在处理像物联网设备这样的网络环境不稳定的情况时特别给力。 5. 结论 通过上述讨论，我们可以看到Spark确实是一个强大的工具，可以帮助我们有效地处理物联网设备产生的海量数据。虽说在实际操作中可能会碰到些难题，但只要我们好好设计和优化一下，Spark绝对能搞定这个活儿。希望这篇文章对你有所帮助，也欢迎你在实践中继续探索和分享你的经验！

... } ]; res.json(users); }); // 启动微服务并监听指定端口 app.listen(3000, () => { console.log('User service is running on port 3000...'); }); 上述代码中，我们创建了一个简单的基于 Express 的微服务，它提供了一个获取用户列表的接口。这个啊，其实就是个入门级的小栗子。在真实的项目场景里，这个服务可能会跟数据库或者其他服务“打交道”，从它们那里拿到需要的数据。然后，它会通过API Gateway这位“中间人”，对外提供一个统一的服务接口，让其他应用可以方便地和它互动交流。 4. 微服务间通信 使用gRPC或HTTP 在微服务架构下，各个服务间的通信至关重要。Node.js 支持多种通信方式，例如 gRPC 和 HTTP。以下是一个使用 HTTP 进行微服务间通信的例子： javascript // 在另一个服务中调用上述用户服务 const axios = require('axios'); app.get('/orders/:userId', async (req, res) => { try { const response = await axios.get(http://user-service:3000/users/${req.params.userId}); const user = response.data; // 假设我们从订单服务获取用户的订单信息 const orders = getOrdersFromDatabase(user.id); res.json(orders); } catch (error) { res.status(500).json({ error: 'Failed to fetch user data' }); } }); 在这个例子中，我们的“订单服务”通过HTTP客户端向“用户服务”发起请求，获取特定用户的详细信息，然后根据用户ID查询订单数据。 5. 总结与思考 利用 Node.js 构建微服务架构，我们可以享受到其带来的快速响应、高并发处理能力以及丰富的生态系统支持。不过呢，每种技术都有它最适合施展拳脚的地方和需要面对的挑战。比如说，当碰到那些特别消耗CPU的任务时，Node.js可能就不是最理想的解决方案了。所以在实际操作中，咱们得瞅准具体的业务需求和技术特性，小心翼翼地掂量一下，看怎样才能恰到好处地用 Node.js 来构建一个既结实又高效的微服务架构。就像是做菜一样，要根据食材和口味来精心调配，才能炒出一盘色香味俱全的好菜。同时，随着我们提供的服务越来越多，咱们不得不面对一些额外的挑战，比如怎么管理好这些服务、如何进行有效的监控、出错了怎么快速恢复这类问题。这些问题就像是我们搭建积木过程中的隐藏关卡，需要我们在构建和完善服务体系的过程中，不断去摸索、去改进、去优化，让整个系统更健壮、更稳定。

...L数据库系统，它使用JSON-like格式（称为BSON）来存储数据，并以灵活的数据模型而著称。在处理非结构化和半结构化数据时，MongoDB能够提供高性能且高度可扩展的解决方案，适用于现代Web应用、实时分析、内容管理系统等多种场景。 NoSQL数据库 , NoSQL（Not Only SQL）是一种不同于传统关系型数据库管理系统的新型数据库类型，它不依赖于固定的表结构和SQL查询语言进行数据操作。MongoDB作为NoSQL数据库的一种，其设计目标在于实现大规模分布式数据存储，支持水平扩展以及高并发读写等需求，尤其适合应对海量数据和复杂数据结构的应用场景。 查询构建器 , 查询构建器是MongoDB Studio提供的一个图形化工具，用户可以通过直观的界面而非直接编写命令或查询语句来构建针对MongoDB数据库的查询条件。例如，在MongoDB Studio中，查询构建器允许用户通过拖拽字段、选择操作符并输入值等方式，生成复杂的查询表达式，从而找到满足特定条件的数据库记录。 数据建模与设计 , 在MongoDB中，数据建模与设计是指根据业务需求规划和定义数据库集合的文档结构的过程。在MongoDB Studio中，数据建模功能允许用户通过可视化界面创建和编辑集合的文档模式，如指定字段名称、数据类型、是否为必填项以及额外约束条件等，从而确保数据的一致性和完整性。例如，在文章示例中，通过MongoDB Studio的数据建模功能可以创建包含username、email、password等字段的新用户文档结构。

...就一起来看看它是怎么工作的吧！ --- 2. 初识Group 基础用法 首先，咱们得知道 Group 是啥。简单来说啊，这 Group 就像是给路由套了个“外衣”，这么一来，咱们就能把那些长得像、用法类似的路由整到一块儿去了，是不是特方便？比如，所有跟用户相关的接口，我们就可以放在同一个组里。 示例1：创建一个简单的 Group go package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { r := gin.Default() // 创建一个用户组 userGroup := r.Group("/users") { // 用户注册接口 userGroup.POST("/register", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "User registered successfully"}) }) // 用户登录接口 userGroup.POST("/login", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "Login successful"}) }) } // 启动服务 r.Run(":8080") } 在这段代码里，我们先用 r.Group("/users") 创建了一个名为 /users 的路由组。然后在这个组里定义了两个接口：/register 和 /login。这样一来，所有与用户相关的接口都集中在一个地方，是不是感觉清爽多了？ --- 3. 深入探讨 嵌套分组 当然啦，Group 不仅仅能用来分一级路由，还可以嵌套分组，这就像是在衣柜里再加几个小抽屉一样，分类更细致了。 示例2：嵌套分组 go package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { r := gin.Default() // 创建一个主路由组 mainGroup := r.Group("/api") { // 子路由组：用户相关 userGroup := mainGroup.Group("/users") { userGroup.GET("/", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "List all users"}) }) // 获取单个用户信息 userGroup.GET("/:id", func(c gin.Context) { id := c.Param("id") c.JSON(http.StatusOK, gin.H{"message": "User info", "id": id}) }) } // 子路由组：订单相关 orderGroup := mainGroup.Group("/orders") { orderGroup.POST("/", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "Order created successfully"}) }) orderGroup.GET("/", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "List all orders"}) }) } } r.Run(":8080") } 在这个例子中，我们首先创建了一个 /api 的主路由组，然后在这个主组下面分别创建了 /users 和 /orders 两个子路由组。这样的结构是不是更有条理了？尤其是当你项目变得复杂时，这种分层结构会让你少走很多弯路。 --- 4. 实战技巧 动态前缀与中间件 除了分组之外，Group 还支持动态前缀和中间件绑定。哈哈，这个功能超实用啊！就像是给一帮小伙伴设了个统一的“群规”，所有成员都自动遵守。不过呢，要是哪天你想让某个小组玩点不一样的，比如换个新名字前缀啥的，也能随时调整，特别方便！ 示例3：动态前缀与中间件 go package main import ( "github.com/gin-gonic/gin" "net/http" ) func main() { r := gin.Default() // 设置全局中间件 r.Use(func(c gin.Context) { c.Set("auth", "token") c.Next() }) // 创建一个用户组，并绑定中间件 userGroup := r.Group("/v1/users", func(c gin.Context) { token := c.MustGet("auth").(string) if token != "admin" { c.AbortWithStatus(http.StatusUnauthorized) return } }) // 用户注册接口 userGroup.POST("/register", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "User registered successfully"}) }) // 用户登录接口 userGroup.POST("/login", func(c gin.Context) { c.JSON(http.StatusOK, gin.H{"message": "Login successful"}) }) r.Run(":8080") } 在这个例子中，我们为 /v1/users 组绑定了一个中间件，只有携带正确令牌的请求才能访问该组下的接口。这种方式特别适合处理权限控制问题，避免了重复编写相同逻辑的麻烦。 --- 5. 总结 拥抱清晰的代码 兄弟们，路由分组真的是一项非常实用的技术。它不仅能让我们的代码更加整洁，还能大大提升开发效率。试想一下，如果你接手一个没有任何分组的项目，面对成千上万行杂乱无章的代码，你会不会崩溃？ 所以啊，从今天开始，不管你的项目多大，都要养成使用 Group 的好习惯。不管你是弄个小玩意儿，还是搞那种复杂得让人头大的微服务架构，只要分组分得好，就能省不少劲儿，效率蹭蹭往上涨！记住，代码不仅仅是给机器看的，更是给人看的。清晰的代码，就是对同行最大的尊重！ 最后，希望这篇文章能帮到你们。如果你们还有什么疑问或者更好的实践方法，欢迎留言交流哦！一起进步，一起成长！

...e.css文件，目录结构如下： style.css: .content {color: red;} 很简单，就是一个样式类。然后我们改一下helloworld.js文件。 helloworld.js: // 引入css模块var styles = require('../style.css');// 输出模块module.exports = () => {// 这里使用了箭头函数，还有let和const关键字哦～～let content = "Hello ";const NAME = "ES6";var div = document.createElement('div');div.setAttribute('class', styles.content); // 使用样式类div.innerHTML = content + NAME;return div;}; 注意，这里跟我们平时写的有点不一样。 我们在建一个dom节点时，指定了一个样式类。但是这个样式类，是以包的形式存在的，也就是一个模块。 综合起来看我们这个helloworld.js模块，是不是把html，css和js凝聚成了一个小整体了呢？ 我知道你已经迫不及待的想看结果了，好吧，咱们赶紧写一下配置文件跑起来吧~~ webpack.config.js: var path = require('path');module.exports = {entry: './src/index.js',output: {path: path.resolve(__dirname, 'dist'),filename: 'bundle.js'},module: {rules: [{test: /\.js$/,exclude: /node_modules/,loader: 'babel-loader',options: {presets: ['env']} }, {test: /\.css$/,loader: 'style-loader!css-loader?modules'}]} }; 说明： style-loader和css-loader是工具名称。 !感叹号是分割符，表示两个工具都参与处理。 ?问号，其实跟url的问号一样，就是后面要跟参数的意思。 而modules这个参数呢，就是将css打包成模块。跟js打包是一样的，你不必再担心不同模块具有相同类名时造成的问题了。 我们运行一下：（我这次特地没在局部安装webpack-cli，发现可以运行，因为我昨天在全局安装了webpack-cli，之所以要在全局安装而单独局部安装不行，可能跟package.json有关，因为这里都没有用到package.json）。 如果不报错，我们打开浏览器，看一下index.html： 我们看到，样式已然生效了，但是我们打开控制台，看到class的名称并非是我们写的样式类.content,而是生成了新名称，这就说明webpack的编译生效了。 我们打开bundle.js看一下，css其实已经被打包编译到了bundle.js文件里：（太长，截了一部分） 我们看到，css打包后，存在形态已经变成了js。这没有什么可奇怪的，只有这样才能使用包的形式做管理，css本身，是无法达到这样的目的的，所以，它还是二等公民。。。。 本篇文章为转载内容。原文链接：https://blog.csdn.net/DreamFJ/article/details/81700004。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...- 3. 准备工作 搭建Node.js项目 既然要学怎么用Docker部署Node.js应用，那我们得先有个项目吧？这里我假设你已经会用npm初始化一个Node.js项目了。如果没有的话，可以按照以下步骤操作： bash mkdir my-node-app cd my-node-app npm init -y 这会在当前目录下生成一个package.json文件，用于管理项目的依赖。接下来，我们随便写点代码让这个项目动起来。比如新建一个index.js文件，内容如下： javascript // index.js const http = require('http'); const hostname = '127.0.0.1'; const port = 3000; const server = http.createServer((req, res) => { res.statusCode = 200; res.setHeader('Content-Type', 'text/plain'); res.end('Hello World\n'); }); server.listen(port, hostname, () => { console.log(Server running at http://${hostname}:${port}/); }); 现在你可以直接运行它看看效果： bash node index.js 打开浏览器访问http://127.0.0.1:3000/，你会看到“Hello World”。不错，我们的基础项目已经搭建好了！ --- 4. 第一步 编写Dockerfile 接下来我们要做的就是给这个项目添加Docker的支持。为此，我们需要创建一个特殊的文件叫Dockerfile。这个名字是固定的，不能改哦。 进入项目根目录，创建一个空文件名为Dockerfile，然后在里面输入以下内容： dockerfile 使用官方的Node.js镜像作为基础镜像 FROM node:16-alpine 设置工作目录 WORKDIR /app 将当前目录下的所有文件复制到容器中的/app目录 COPY . /app 安装项目依赖 RUN npm install 暴露端口 EXPOSE 3000 启动应用 CMD ["node", "index.js"] 这段代码看起来有点复杂，但其实逻辑很简单： 1. FROM node:16-alpine 告诉Docker从官方的Node.js 16版本的Alpine镜像开始构建。 2. WORKDIR /app 指定容器内的工作目录为/app。 3. COPY . /app 把当前项目的文件拷贝到容器的/app目录下。 4. RUN npm install 在容器内执行npm install命令，安装项目的依赖。 5. EXPOSE 3000 声明应用监听的端口号。 6. CMD ["node", "index.js"]：定义容器启动时默认执行的命令。 保存完Dockerfile后，我们可以试着构建镜像了。 --- 5. 构建并运行Docker镜像 在项目根目录下运行以下命令来构建镜像： bash docker build -t my-node-app . 这里的. 表示当前目录，my-node-app是我们给镜像起的名字。构建完成后，可以用以下命令查看是否成功生成了镜像： bash docker images 输出应该类似这样： REPOSITORY TAG IMAGE ID CREATED SIZE my-node-app latest abcdef123456 2 minutes ago 150MB 接着，我们可以启动容器试试看： bash docker run -d -p 3000:3000 my-node-app 参数解释： - -d：以后台模式运行容器。 - -p 3000:3000：将主机的3000端口映射到容器的3000端口。 - my-node-app：使用的镜像名称。 启动成功后，访问http://localhost:3000/，你会发现依然可以看到“Hello World”！这说明我们的Docker化部署已经初步完成了。 --- 6. 进阶 多阶段构建优化镜像大小 虽然上面的方法可行，但生成的镜像体积有点大（大约150MB左右）。有没有办法让它更小呢？答案是有！这就是Docker的“多阶段构建”。 修改后的Dockerfile如下： dockerfile 第一阶段：构建阶段 FROM node:16-alpine AS builder WORKDIR /app COPY package.json ./ RUN npm install COPY . . RUN npm run build 假设你有一个build脚本 第二阶段：运行阶段 FROM node:16-alpine WORKDIR /app COPY --from=builder /app/dist ./dist 假设build后的文件存放在dist目录下 COPY package.json ./ RUN npm install --production EXPOSE 3000 CMD ["node", "dist/index.js"] 这里的关键在于“--from=builder”，它允许我们在第二个阶段复用第一个阶段的结果。这样就能让开发工具和测试依赖 stays 在它们该待的地方，而不是一股脑全塞进最终的镜像里，这样一来镜像就能瘦成一道闪电啦！ --- 7. 总结与展望 写到这里，我相信你已经对如何用Docker部署Node.js应用有了基本的认识。虽然过程中可能会遇到各种问题，但每一次尝试都是成长的机会。记得多查阅官方文档，多动手实践，这样才能真正掌握这项技能。 未来，随着云计算和微服务架构的普及，容器化将成为每个开发者必备的技能之一。所以，别犹豫啦，赶紧去试试呗！要是你有什么不懂的，或者想聊聊自己的经历，就尽管来找我聊天，咱们一起唠唠~咱们一起进步！ 最后，祝大家都能早日成为Docker高手！😄

...化了数学内容创作者和教育工作者的工作流程，尤其适用于在线教育平台、学术论坛以及各类需要数学公式的Web应用中。 点我下载 文件大小：2.77 MB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。