[ http服务拦截器用于身份验证的实例研...]的搜索结果

...转载内容。原文链接：https://blog.csdn.net/MrCoderStack/article/details/88547919。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。 背景 博主早年从事web安全相关的工作，近日得闲，简单梳理几个常见的web安全问题。 XSS 首先说下最常见的 XSS 漏洞，XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。 非持久型 XSS 非持久型 XSS 漏洞，也叫反射型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。 非持久型 XSS 举一个例子，比如你的 Web 页面中包含有以下代码： Select your language:<select><script>document.write(''+ '<option value=1>'+ location.href.substring(location.href.indexOf('default=') + 8)+ '</option>');document.write('<option value=2>English</option>');</script></select> 攻击者可以直接通过 URL 类似：https://xx.com/xx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。 非持久型 XSS 漏洞攻击有以下几点特征： 即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。 攻击者需要诱骗点击 反馈率低，所以较难发现和响应修复 盗取用户敏感保密信息 为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情： Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。 尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。 尽量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.creteElement() 等可执行字符串的方法。 如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。 前端渲染的时候对任何的字段都需要做 escape 转义编码。 escape 转义的目的是将一些构成 HTML 标签的元素转义，比如 <，>，空格 等，转义成 <，>， 等显示转义字符。有很多开源的工具可以协助我们做 escape 转义。 持久型 XSS 持久型 XSS 漏洞，也被称为存储型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如发帖留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。 主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，refferer，forms 等，而是来源于后端从数据库中读出来的数据。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。攻击成功需要同时满足以下几个条件： POST 请求提交表单后端没做转义直接入库。 后端从数据库中取出数据没做转义直接输出给前端。 前端拿到后端数据没做转义直接渲染成 DOM。 持久型 XSS 有以下几个特点： 持久性，植入在数据库中 危害面广，甚至可以让用户机器变成 DDoS 攻击的肉鸡。 盗取用户敏感私密信息 为了防止持久型 XSS 漏洞，需要前后端共同努力： 后端在入库前应该选择不相信任何前端数据，将所有的字段统一进行转义处理。 后端在输出给前端数据统一进行转义处理。 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据，任何字段都需要做转义处理。 基于字符集的 XSS 其实现在很多的浏览器以及各种开源的库都专门针对了 XSS 进行转义处理，尽量默认抵御绝大多数 XSS 攻击，但是还是有很多方式可以绕过转义规则，让人防不胜防。比如「基于字符集的 XSS 攻击」就是绕过这些转义处理的一种攻击方式，比如有些 Web 页面字符集不固定，用户输入非期望字符集的字符，有时会绕过转义过滤规则。 以基于 utf-7 的 XSS 为例 utf-7 是可以将所有的 unicode 通过 7bit 来表示的一种字符集 (但现在已经从 Unicode 规格中移除)。 这个字符集为了通过 7bit 来表示所有的文字, 除去数字和一部分的符号,其它的部分将都以 base64 编码为基础的方式呈现。 <script>alert("xss")</script>可以被解释为：+ADw-script+AD4-alert(+ACI-xss+ACI-)+ADw-/script+AD4- 可以形成「基于字符集的 XSS 攻击」的原因是由于浏览器在 meta 没有指定 charset 的时候有自动识别编码的机制，所以这类攻击通常就是发生在没有指定或者没来得及指定 meta 标签的 charset 的情况下。 所以我们有什么办法避免这种 XSS 呢？ 记住指定 XML 中不仅要指定字符集为 utf-8，而且标签要闭合 牛文推荐：http://drops.wooyun.org/papers/1327 （这个讲的很详细） 基于 Flash 的跨站 XSS 基于 Flash 的跨站 XSS 也是属于反射型 XSS 的一种，虽然现在开发 ActionScript 的产品线几乎没有了，但还是提一句吧，AS 脚本可以接受用户输入并操作 cookie，攻击者可以配合其他 XSS（持久型或者非持久型）方法将恶意 swf 文件嵌入页面中。主要是因为 AS 有时候需要和 JS 传参交互，攻击者会通过恶意的 XSS 注入篡改参数，窃取并操作cookie。 避免方法： 严格管理 cookie 的读写权限 对 Flash 能接受用户输入的参数进行过滤 escape 转义处理 未经验证的跳转 XSS 有一些场景是后端需要对一个传进来的待跳转的 URL 参数进行一个 302 跳转，可能其中会带有一些用户的敏感（cookie）信息。如果服务器端做302 跳转，跳转的地址来自用户的输入，攻击者可以输入一个恶意的跳转地址来执行脚本。 这时候需要通过以下方式来防止这类漏洞： 对待跳转的 URL 参数做白名单或者某种规则过滤 后端注意对敏感信息的保护, 比如 cookie 使用来源验证。 CSRF CSRF（Cross-Site Request Forgery），中文名称：跨站请求伪造攻击 那么 CSRF 到底能够干嘛呢？你可以这样简单的理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计，例如通过 QQ 等聊天软件发送的链接(有些还伪装成短域名，用户无法分辨)，攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。例如，当用户登录网络银行去查看其存款余额，在他没有退出时，就点击了一个 QQ 好友发来的链接，那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。 所以遇到 CSRF 攻击时，将对终端用户的数据和操作指令构成严重的威胁。当受攻击的终端用户具有管理员帐户的时候，CSRF 攻击将危及整个 Web 应用程序。 CSRF 原理 下图大概描述了 CSRF 攻击的原理，可以理解为有一个小偷在你配钥匙的地方得到了你家的钥匙，然后拿着要是去你家想偷什么偷什么。 csrf原理 完成 CSRF 攻击必须要有三个条件： 用户已经登录了站点 A，并在本地记录了 cookie 在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。 站点 A 没有做任何 CSRF 防御 你也许会问：「如果我不满足以上三个条件中的任意一个，就不会受到 CSRF 的攻击」。其实可以这么说的，但你不能保证以下情况不会发生： 你不能保证你登录了一个网站后，不再打开一个 tab 页面并访问另外的网站，特别现在浏览器都是支持多 tab 的。 你不能保证你关闭浏览器了后，你本地的 cookie 立刻过期，你上次的会话已经结束。 上图中所谓的攻击网站 B，可能是一个存在其他漏洞的可信任的经常被人访问的网站。 预防 CSRF CSRF 的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的 CSRF 防御也都在服务端进行。服务端的预防 CSRF 攻击的方式方法有多种，但思路上都是差不多的，主要从以下两个方面入手： 正确使用 GET，POST 请求和 cookie 在非 GET 请求中增加 token 一般而言，普通的 Web 应用都是以 GET、POST 请求为主，还有一种请求是 cookie 方式。我们一般都是按照如下规则设计应用的请求： GET 请求常用在查看，列举，展示等不需要改变资源属性的时候（数据库 query 查询的时候） POST 请求常用在 From 表单提交，改变一个资源的属性或者做其他一些事情的时候（数据库有 insert、update、delete 的时候） 当正确的使用了 GET 和 POST 请求之后，剩下的就是在非 GET 方式的请求中增加随机数，这个大概有三种方式来进行： 为每个用户生成一个唯一的 cookie token，所有表单都包含同一个伪随机值，这种方案最简单，因为攻击者不能获得第三方的 cookie(理论上)，所以表单中的数据也就构造失败，但是由于用户的 cookie 很容易由于网站的 XSS 漏洞而被盗取，所以这个方案必须要在没有 XSS 的情况下才安全。 每个 POST 请求使用验证码，这个方案算是比较完美的，但是需要用户多次输入验证码，用户体验比较差，所以不适合在业务中大量运用。 渲染表单的时候，为每一个表单包含一个 csrfToken，提交表单的时候，带上 csrfToken，然后在后端做 csrfToken 验证。 CSRF 的防御可以根据应用场景的不同自行选择。CSRF 的防御工作确实会在正常业务逻辑的基础上带来很多额外的开发量，但是这种工作量是值得的，毕竟用户隐私以及财产安全是产品最基础的根本。 SQL 注入 SQL 注入漏洞（SQL Injection）是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入，使攻击者成功的向服务器提交恶意的 SQL 查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。 很多 Web 开发者没有意识到 SQL 查询是可以被篡改的，从而把 SQL 查询当作可信任的命令。殊不知，SQL 查询是可以绕开访问控制，从而绕过身份验证和权限检查的。更有甚者，有可能通过 SQL 查询去运行主机系统级的命令。 SQL 注入原理 下面将通过一些真实的例子来详细讲解 SQL 注入的方式的原理。 考虑以下简单的管理员登录表单： <form action="/login" method="POST"><p>Username: <input type="text" name="username" /></p><p>Password: <input type="password" name="password" /></p><p><input type="submit" value="登陆" /></p></form> 后端的 SQL 语句可能是如下这样的： let querySQL = SELECT FROM userWHERE username='${username}'AND psw='${password}'; // 接下来就是执行 sql 语句… 目的就是来验证用户名和密码是不是正确，按理说乍一看上面的 SQL 语句也没什么毛病，确实是能够达到我们的目的，可是你只是站在用户会老老实实按照你的设计来输入的角度来看问题，如果有一个恶意攻击者输入的用户名是 zoumiaojiang’ OR 1 = 1 --，密码随意输入，就可以直接登入系统了。WFT! 冷静下来思考一下，我们之前预想的真实 SQL 语句是: SELECT FROM user WHERE username='zoumiaojiang' AND psw='mypassword' 可以恶意攻击者的奇怪用户名将你的 SQL 语句变成了如下形式： SELECT FROM user WHERE username='zoumiaojiang' OR 1 = 1 --' AND psw='xxxx' 在 SQL 中，-- 是注释后面的内容的意思，所以查询语句就变成了： SELECT FROM user WHERE username='zoumiaojiang' OR 1 = 1 这条 SQL 语句的查询条件永远为真，所以意思就是恶意攻击者不用我的密码，就可以登录进我的账号，然后可以在里面为所欲为，然而这还只是最简单的注入，牛逼的 SQL 注入高手甚至可以通过 SQL 查询去运行主机系统级的命令，将你主机里的内容一览无余，这里我也没有这个能力讲解的太深入，毕竟不是专业研究这类攻击的，但是通过以上的例子，已经了解了 SQL 注入的原理，我们基本已经能找到防御 SQL 注入的方案了。 如何预防 SQL 注入 防止 SQL 注入主要是不能允许用户输入的内容影响正常的 SQL 语句的逻辑，当用户的输入的信息将要用来拼接 SQL 语句的话，我们应该永远选择不相信，任何内容都必须进行转义过滤，当然做到这个还是不够的，下面列出防御 SQL 注入的几点注意事项： 严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害 后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。 对进入数据库的特殊字符（’，"，\，<，>，&，，; 等）进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。 所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。 mysql.query(SELECT FROM user WHERE username = ? AND psw = ?, [username, psw]); 在应用发布之前建议使用专业的 SQL 注入检测工具进行检测，以及时修补被发现的 SQL 注入漏洞。网上有很多这方面的开源工具，例如 sqlmap、SQLninja 等。 避免网站打印出 SQL 错误信息，比如类型错误、字段不匹配等，把代码里的 SQL 语句暴露出来，以防止攻击者利用这些错误信息进行 SQL 注入。 不要过于细化返回的错误信息，如果目的是方便调试，就去使用后端日志，不要在接口上过多的暴露出错信息，毕竟真正的用户不关心太多的技术细节，只要话术合理就行。 碰到要操作的数据库的代码，一定要慎重，小心使得万年船，多找几个人多来几次 code review，将问题都暴露出来，而且要善于利用工具，操作数据库相关的代码属于机密，没事不要去各种论坛晒自家站点的 SQL 语句，万一被人盯上了呢？ 命令行注入 命令行注入漏洞，指的是攻击者能够通过 HTTP 请求直接侵入主机，执行攻击者预设的 shell 命令，听起来好像匪夷所思，这往往是 Web 开发者最容易忽视但是却是最危险的一个漏洞之一，看一个实例： 假如现在需要实现一个需求：用户提交一些内容到服务器，然后在服务器执行一些系统命令去产出一个结果返回给用户，接口的部分实现如下： // 以 Node.js 为例，假如在接口中需要从 github 下载用户指定的 repoconst exec = require('mz/child_process').exec;let params = {/ 用户输入的参数 /};exec(git clone ${params.repo} /some/path); 这段代码确实能够满足业务需求，正常的用户也确实能从指定的 git repo 上下载到想要的代码，可是和 SQL 注入一样，这段代码在恶意攻击者眼中，简直就是香饽饽。 如果 params.repo 传入的是 https://github.com/zoumiaojiang/zoumiaojiang.github.io.git 当然没问题了。 可是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf / && 恰好你的服务是用 root 权限起的就惨了。 具体恶意攻击者能用命令行注入干什么也像 SQL 注入一样，手法是千变万化的，比如「反弹 shell 注入」等，但原理都是一样的，我们绝对有能力防止命令行注入发生。防止命令行注入需要做到以下几件事情： 后端对前端提交内容需要完全选择不相信，并且对其进行规则限制（比如正则表达式）。 在调用系统命令前对所有传入参数进行命令行参数转义过滤。 不要直接拼接命令语句，借助一些工具做拼接、转义预处理，例如 Node.js 的 shell-escape npm 包。 还是前面的例子，我们可以做到如下： const exec = require('mz/child_process').exec;// 借助 shell-escape npm 包解决参数转义过滤问题const shellescape = require('shell-escape');let params = {/ 用户输入的参数 /};// 先过滤一下参数，让参数符合预期if (!/正确的表达式/.test(params.repo)) {return;}let cmd = shellescape(['git','clone',params.repo,'/some/path']);// cmd 的值: git clone 'https://github.com/xx/xx.git && rm -rf / &&' /some/path// 这样就不会被注入成功了。exec(cmd); DDoS 攻击 DDoS 又叫分布式拒绝服务，全称 Distributed Denial of Service，其原理就是利用大量的请求造成资源过载，导致服务不可用，这个攻击应该不能算是安全问题，这应该算是一个另类的存在，因为这种攻击根本就是耍流氓的存在，「伤敌一千，自损八百」的行为。出于保护 Web App 不受攻击的攻防角度，还是介绍一下 DDoS 攻击吧，毕竟也是挺常见的。 DDoS 攻击可以理解为：「你开了一家店，隔壁家点看不惯，就雇了一大堆黑社会人员进你店里干坐着，也不消费，其他客人也进不来，导致你营业惨淡」。为啥说 DDoS 是个「伤敌一千，自损八百」的行为呢？毕竟隔壁店还是花了不少钱雇黑社会但是啥也没得到不是？DDoS 攻击的目的基本上就以下几个： 深仇大恨，就是要干死你 敲诈你，不给钱就干你 忽悠你，不买我防火墙服务就会有“人”继续干你 也许你的站点遭受过 DDoS 攻击，具体什么原因怎么解读见仁见智。DDos 攻击从层次上可分为网络层攻击与应用层攻击，从攻击手法上可分为快型流量攻击与慢型流量攻击，但其原理都是造成资源过载，导致服务不可用。 网络层 DDoS 网络层 DDos 攻击包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 等。 SYN Flood 攻击 SYN flood 攻击主要利用了 TCP 三次握手过程中的 Bug，我们都知道 TCP 三次握手过程是要建立连接的双方发送 SYN，SYN + ACK，ACK 数据包，而当攻击方随意构造源 IP 去发送 SYN 包时，服务器返回的 SYN + ACK 就不能得到应答（因为 IP 是随意构造的），此时服务器就会尝试重新发送，并且会有至少 30s 的等待时间，导致资源饱和服务不可用，此攻击属于慢型 DDoS 攻击。 ACK Flood 攻击 ACK Flood 攻击是在 TCP 连接建立之后，所有的数据传输 TCP 报文都是带有 ACK 标志位的，主机在接收到一个带有 ACK 标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应 RST 包告诉对方此端口不存在。 UDP Flood 攻击 UDP flood 攻击是由于 UDP 是一种无连接的协议，因此攻击者可以伪造大量的源 IP 地址去发送 UDP 包，此种攻击属于大流量攻击。正常应用情况下，UDP 包双向流量会基本相等，因此发起这种攻击的攻击者在消耗对方资源的时候也在消耗自己的资源。 ICMP Flood 攻击 ICMP Flood 攻击属于大流量攻击，其原理就是不断发送不正常的 ICMP 包（所谓不正常就是 ICMP 包内容很大），导致目标带宽被占用，但其本身资源也会被消耗。目前很多服务器都是禁 ping 的（在防火墙在可以屏蔽 ICMP 包），因此这种攻击方式已经落伍。 网络层 DDoS 防御 网络层的 DDoS 攻击究其本质其实是无法防御的，我们能做得就是不断优化服务本身部署的网络架构，以及提升网络带宽。当然，还是做好以下几件事也是有助于缓解网络层 DDoS 攻击的冲击： 网络架构上做好优化，采用负载均衡分流。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 添加抗 DDos 设备，进行流量清洗。 限制同时打开的 SYN 半连接数目，缩短 SYN 半连接的 Timeout 时间。 限制单 IP 请求频率。 防火墙等防护设置禁止 ICMP 包等。 严格限制对外开放的服务器的向外访问。 运行端口映射程序或端口扫描程序，要认真检查特权端口和非特权端口。 关闭不必要的服务。 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。 加钱堆机器。。 报警。。 应用层 DDoS 应用层 DDoS 攻击不是发生在网络层，是发生在 TCP 建立握手成功之后，应用程序处理请求的时候，现在很多常见的 DDoS 攻击都是应用层攻击。应用层攻击千变万化，目的就是在网络应用层耗尽你的带宽，下面列出集中典型的攻击类型。 CC 攻击 当时绿盟为了防御 DDoS 攻击研发了一款叫做 Collapasar 的产品，能够有效的防御 SYN Flood 攻击。黑客为了挑衅，研发了一款 Challenge Collapasar 攻击工具（简称 CC）。 CC 攻击的原理，就是针对消耗资源比较大的页面不断发起不正常的请求，导致资源耗尽。因此在发送 CC 攻击前，我们需要寻找加载比较慢，消耗资源比较多的网页，比如需要查询数据库的页面、读写硬盘文件的等。通过 CC 攻击，使用爬虫对某些加载需要消耗大量资源的页面发起 HTTP 请求。 DNS Flood DNS Flood 攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成 DNS 服务器解析域名超时。 根据微软的统计数据，一台 DNS 服务器所能承受的动态域名查询的上限是每秒钟 9000 个请求。而我们知道，在一台 P3 的 PC 机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的 DNS 服务器瘫痪，由此可见 DNS 服务器的脆弱性。 HTTP 慢速连接攻击 针对 HTTP 协议，先建立起 HTTP 连接，设置一个较大的 Conetnt-Length，每次只发送很少的字节，让服务器一直以为 HTTP 头部没有传输完成，这样连接一多就很快会出现连接耗尽。 应用层 DDoS 防御 判断 User-Agent 字段（不可靠，因为可以随意构造） 针对 IP + cookie，限制访问频率（由于 cookie 可以更改，IP 可以使用代理，或者肉鸡，也不可靠) 关闭服务器最大连接数等，合理配置中间件，缓解 DDoS 攻击。 请求中添加验证码，比如请求中有数据库操作的时候。 编写代码时，尽量实现优化，并合理使用缓存技术，减少数据库的读取操作。 加钱堆机器。。 报警。。 应用层的防御有时比网络层的更难，因为导致应用层被 DDoS 攻击的因素非常多，有时往往是因为程序员的失误，导致某个页面加载需要消耗大量资源，有时是因为中间件配置不当等等。而应用层 DDoS 防御的核心就是区分人与机器（爬虫），因为大量的请求不可能是人为的，肯定是机器构造的。因此如果能有效的区分人与爬虫行为，则可以很好地防御此攻击。 其他 DDoS 攻击 发起 DDoS 也是需要大量的带宽资源的，但是互联网就像森林，林子大了什么鸟都有，DDoS 攻击者也能找到其他的方式发起廉价并且极具杀伤力的 DDoS 攻击。 利用 XSS 举个例子，如果 12306 页面有一个 XSS 持久型漏洞被恶意攻击者发现，只需在春节抢票期间在这个漏洞中执行脚本使得往某一个小站点随便发点什么请求，然后随着用户访问的增多，感染用户增多，被攻击的站点自然就会迅速瘫痪了。这种 DDoS 简直就是无本万利，不用惊讶，现在大站有 XSS 漏洞的不要太多。 来自 P2P 网络攻击 大家都知道，互联网上的 P2P 用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据，成千上万的真实 IP 地址连接过来，没有哪个设备能够支撑住。拿 BT 下载来说，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但是这只是基础攻击。 高级的 P2P 攻击，是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器，然后推送给其它需要下载相同资源的用户，这样，一个链接就发布出去。通过协议逆向，攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去，瞬间就可以传遍整个 P2P 网络。更为恐怖的是，这种攻击是无法停止的，即使是攻击者自身也无法停止，攻击一直持续到 P2P 官方发现问题更新服务器且下载用户重启下载软件为止。 最后总结下，DDoS 不可能防的住，就好比你的店只能容纳 50 人，黑社会有 100 人，你就换一家大店，能容纳 500 人，然后黑社会又找来了 1000 人，这种堆人头的做法就是 DDoS 本质上的攻防之道，「道高一尺，魔高一丈，魔高一尺，道高一丈」，讲真，必要的时候就答应勒索你的人的条件吧，实在不行就报警吧。 流量劫持 流量劫持应该算是黑产行业的一大经济支柱了吧？简直是让人恶心到吐，不吐槽了，还是继续谈干货吧，流量劫持基本分两种：DNS 劫持 和 HTTP 劫持，目的都是一样的，就是当用户访问 zoumiaojiang.com 的时候，给你展示的并不是或者不完全是 zoumiaojiang.com 提供的 “内容”。 DNS 劫持 DNS 劫持，也叫做域名劫持，可以这么理解，「你打了一辆车想去商场吃饭，结果你打的车是小作坊派来的，直接给你拉到小作坊去了」，DNS 的作用是把网络地址域名对应到真实的计算机能够识别的 IP 地址，以便计算机能够进一步通信，传递网址和内容等。如果当用户通过某一个域名访问一个站点的时候，被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP，用户就被劫持到了恶意钓鱼站点，然后继而会被钓鱼输入各种账号密码信息，泄漏隐私。 dns劫持 这类劫持，要不就是网络运营商搞的鬼，一般小的网络运营商与黑产勾结会劫持 DNS，要不就是电脑中毒，被恶意篡改了路由器的 DNS 配置，基本上做为开发者或站长却是很难察觉的，除非有用户反馈，现在升级版的 DNS 劫持还可以对特定用户、特定区域等使用了用户画像进行筛选用户劫持的办法，另外这类广告显示更加随机更小，一般站长除非用户投诉否则很难觉察到，就算觉察到了取证举报更难。无论如何，如果接到有 DNS 劫持的反馈，一定要做好以下几件事： 取证很重要，时间、地点、IP、拨号账户、截屏、URL 地址等一定要有。 可以跟劫持区域的电信运营商进行投诉反馈。 如果投诉反馈无效，直接去工信部投诉，一般来说会加白你的域名。 HTTP 劫持 HTTP 劫持您可以这么理解，「你打了一辆车想去商场吃饭，结果司机跟你一路给你递小作坊的广告」，HTTP 劫持主要是当用户访问某个站点的时候会经过运营商网络，而不法运营商和黑产勾结能够截获 HTTP 请求返回内容，并且能够篡改内容，然后再返回给用户，从而实现劫持页面，轻则插入小广告，重则直接篡改成钓鱼网站页面骗用户隐私。能够实施流量劫持的根本原因，是 HTTP 协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题，则流量劫持将无法轻易发生。所以防止 HTTP 劫持的方法只有将内容加密，让劫持者无法破解篡改，这样就可以防止 HTTP 劫持了。 HTTPS 协议就是一种基于 SSL 协议的安全加密网络应用层协议，可以很好的防止 HTTP 劫持。这里有篇 文章 讲的不错。HTTPS 在这就不深讲了，后面有机会我会单独好好讲讲 HTTPS。如果不想站点被 HTTP 劫持，赶紧将你的站点全站改造成 HTTPS 吧。 服务器漏洞 服务器除了以上提到的那些大名鼎鼎的漏洞和臭名昭著的攻击以外，其实还有很多其他的漏洞，往往也很容易被忽视，在这个小节也稍微介绍几种。 越权操作漏洞 如果你的系统是有登录控制的，那就要格外小心了，因为很有可能你的系统越权操作漏洞，越权操作漏洞可以简单的总结为 「A 用户能看到或者操作 B 用户的隐私内容」，如果你的系统中还有权限控制就更加需要小心了。所以每一个请求都需要做 userid 的判断 以下是一段有漏洞的后端示意代码： // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;mysql.query('SELECT FROM msg_table WHERE msg_id = ?',[msgId]); 以上代码是任何人都可以查询到任何用户的消息，只要有 msg_id 就可以，这就是比较典型的越权漏洞，需要如下这么改进一下： // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;let userId = ctx.session.userId; // 从会话中取出当前登陆的 userIdmysql.query('SELECT FROM msg_table WHERE msg_id = ? AND user_id = ?',[msgId, userId]); 嗯，大概就是这个意思，如果有更严格的权限控制，那在每个请求中凡是涉及到数据库的操作都需要先进行严格的验证，并且在设计数据库表的时候需要考虑进 userId 的账号关联以及权限关联。 目录遍历漏洞 目录遍历漏洞指通过在 URL 或参数中构造 …/，./ 和类似的跨父目录字符串的 ASCII 编码、unicode 编码等，完成目录跳转，读取操作系统各个目录下的敏感文件，也可以称作「任意文件读取漏洞」。 目录遍历漏洞原理：程序没有充分过滤用户输入的 …/ 之类的目录跳转符，导致用户可以通过提交目录跳转来遍历服务器上的任意文件。使用多个… 符号，不断向上跳转，最终停留在根 /，通过绝对路径去读取任意文件。 目录遍历漏洞几个示例和测试，一般构造 URL 然后使用浏览器直接访问，或者使用 Web 漏洞扫描工具检测，当然也可以自写程序测试。 http://somehost.com/../../../../../../../../../etc/passwdhttp://somehost.com/some/path?file=../../Windows/system.ini 借助 %00 空字符截断是一个比较经典的攻击手法http://somehost.com/some/path?file=../../Windows/system.ini%00.js 使用了 IIS 的脚本目录来移动目录并执行指令http://somehost.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ 防御 方法就是需要对 URL 或者参数进行 …/，./ 等字符的转义过滤。 物理路径泄漏 物理路径泄露属于低风险等级缺陷，它的危害一般被描述为「攻击者可以利用此漏洞得到信息，来对系统进一步地攻击」，通常都是系统报错 500 的错误信息直接返回到页面可见导致的漏洞。得到物理路径有些时候它能给攻击者带来一些有用的信息，比如说：可以大致了解系统的文件目录结构；可以看出系统所使用的第三方软件；也说不定会得到一个合法的用户名（因为很多人把自己的用户名作为网站的目录名）。 防止这种泄漏的方法就是做好后端程序的出错处理，定制特殊的 500 报错页面。 源码暴露漏洞 和物理路径泄露类似，就是攻击者可以通过请求直接获取到你站点的后端源代码，然后就可以对系统进一步研究攻击。那么导致源代码暴露的原因是什么呢？基本上就是发生在服务器配置上了，服务器可以设置哪些路径的文件才可以被直接访问的，这里给一个 koa 服务起的例子，正常的 koa 服务器可以通过 koa-static 中间件去指定静态资源的目录，好让静态资源可以通过路径的路由访问。比如你的系统源代码目录是这样的： |- project|- src|- static|- ...|- server.js 你想要将 static 的文件夹配成静态资源目录，你应该会在 server.js 做如下配置： const Koa = require('koa');const serve = require('koa-static');const app = new Koa();app.use(serve(__dirname + '/project/static')); 但是如果配错了静态资源的目录，可能就出大事了，比如： // ...app.use(serve(__dirname + '/project')); 这样所有的源代码都可以通过路由访问到了，所有的服务器都提供了静态资源机制，所以在通过服务器配置静态资源目录和路径的时候，一定要注意检验，不然很可能产生漏洞。 最后，希望 Web 开发者们能够管理好自己的代码隐私，注意代码安全问题，比如不要将产品的含有敏感信息的代码放到第三方外部站点或者暴露给外部用户，尤其是前端代码，私钥类似的保密性的东西不要直接输出在代码里或者页面中。也许还有很多值得注意的点，但是归根结底还是绷住安全那根弦，对待每一行代码都要多多推敲。 请关注我的订阅号 本篇文章为转载内容。原文链接：https://blog.csdn.net/MrCoderStack/article/details/88547919。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...证书是一种数字证书，用于在互联网上建立加密连接并验证服务器身份。在HTTPS协议中，SSL证书能够确保客户端与服务器之间传输数据的安全性，防止信息被窃取或篡改。在本文的语境中，当网络爬虫遇到未安装有效SSL证书的网站时，会触发SSLError，此时可以通过设置requests库中的verify参数为False来忽略证书验证，从而继续爬取数据。 cookie , Cookie是一种由服务器发送到用户浏览器并存储在用户本地的小型文本文件。它通常包含识别用户会话或持久化用户状态的信息，如登录凭证、用户偏好等。在网络爬虫应用中，模拟用户登录状态常需要利用cookie，通过在HTTP请求头中携带已登录用户的cookie信息，使得爬虫可以像真实用户那样访问受权限保护的内容。 session , Session是指在一次用户会话过程中，服务器为该用户维护的状态信息集合。与cookie不同的是，session数据存储在服务器端，而客户端仅存储一个会话标识符（session ID），通常也以cookie的形式存在。在网络爬虫中使用session对象（如requests库中的requests.session()方法创建的对象），可以帮助爬虫维持与服务器之间的状态信息，实现连续操作间的关联和认证，这对于处理需要保持登录状态或进行多次交互的网页抓取任务尤为关键。

...网络下载工具，广泛应用于Unix/Linux操作系统中。在本文语境下，它能够自动下载网页内容、文件及支持多种协议（如HTTP、HTTPS和FTP）的数据资源。用户通过输入特定命令行参数，可以灵活地控制wget的行为，包括但不限于下载https数据时关闭证书验证、处理身份验证等。 HTTPS , HTTPS全称为HyperText Transfer Protocol Secure，即安全超文本传输协议，是在HTTP协议基础上添加SSL/TLS协议以提供加密通信及服务器身份认证功能的一种网络协议。在本文中，wget默认支持HTTPS协议，但在处理具有自签名或不受信任证书的HTTPS资源时可能需要额外配置参数。 自签名证书 , 自签名证书是指由创建者自己生成并签发的SSL证书，而不是由受信任的证书颁发机构（CA）签发。在网络安全领域，浏览器和wget等客户端工具通常会对自签名证书持谨慎态度，因为它们无法依赖权威第三方来验证服务器的身份。在使用wget下载带有自签名证书的HTTPS资源时，可能需要添加--no-check-certificate参数以允许连接成功建立。

...求是指不同的域之间的HTTP请求。比方说，你正在浏览www.example.com这个网站，这时如果发出的请求没有在example.com这个自家地盘里完成，那它就是一个跨域请求啦。就像是你要去隔壁小区拿东西，得跨出自己小区的门一样。你知道吗，浏览器在处理跨域请求这事上，其实是个严格的保安角色。它这么做，主要是为了防止那些“心怀不轨”的恶意网站耍小聪明，欺骗咱们用户，进而偷走重要的敏感信息。这就是为啥跨域请求会被浏览器的安全机制给牢牢把关住的原因啦。 2. 什么是"Access-Control-Allow-Origin"？ "Access-Control-Allow-Origin"是一个HTTP头部字段，它用于指定哪些源可以访问某个资源。如果一个响应里头包含了这个特定的字段，而且这个字段的值恰好跟请求的源头对上了，那浏览器就会爽快地放行这个请求，让它顺利完成。如果没有包含这个头部字段，或者其值不匹配，则浏览器将阻止该请求。 3. 在Java中如何解决"No 'Access-Control-Allow-Origin'"问题？ 在Java中，我们可以使用Spring Security来解决这个问题。Spring Security是一个强大的安全框架，它可以帮助我们管理用户认证和授权，同时也可以处理跨域请求。 首先，我们需要在Spring Security配置类中添加一个HttpSecurity对象，并使用cors()方法来启用CORS支持。然后，我们可以使用allowCredentials()方法来允许携带cookie的请求，以及使用allowedOrigins()方法来设置允许的源。 下面是一个简单的示例代码： typescript @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.cors().and() .csrf().disable(); } } 这样，我们就成功地启用了CORS支持，并且禁止了CSRF保护。现在，我们可以开始编写客户端代码来测试我们的服务了。 4. 总结 总的来说，虽然跨域请求是一件比较复杂的事情，但是在Java中，我们可以通过Spring Security来轻松地解决这个问题。只要我们在配置文件里把CORS支持整对了，咱的服务就能妥妥地应对跨域请求啦！尽管这样，但有个小插曲得告诉大家，即使咱们已经打开了CORS这个“绿灯”，让浏览器能够跨域通信，可还是有些特殊的请求会被浏览器这“门神”给挡在外面。所以，在我们编写代码的过程中，得尽量把这些可能的小状况都考虑周全了，这样一来，才能确保用户享受到更棒的体验，明白吗？ 尾声： 以上就是在Java中解决"No 'Access-Control-Allow-Origin'"问题的方法。我真心希望这篇文章能帮到你，就像一位贴心的小伙伴，在你的开发工作旅程中，能够给你提供实实在在的引导和参考价值。最后，我想说，无论我们在开发过程中遇到了什么样的问题，都不应该轻易地放弃。只要我们有足够的耐心和毅力，就一定能够找到解决问题的方法。

...探讨这些问题，并通过实例代码详细展示排查和解决方法。 1. Composer的基本使用与常见报错场景 首先，让我们温习一下如何在Laravel项目中使用Composer安装组件： bash composer require vendor/package 上述命令用于添加新的依赖包到我们的项目。嘿，你知道吗？有时候啊，就是想完成个看似超级简单的操作，结果它却能给你整出各种幺蛾子来。比如什么网络突然抽风啦、权限不够用啦，还有版本不匹配引发的矛盾冲突啥的，真是让人头大！ 2. 网络问题引发的报错 示例情况： bash [Composer\Downloader\TransportException] The "https://repo.packagist.org/packages.json" file could not be downloaded: SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed Failed to enable crypto failed to open stream: operation failed 解析与解决： 这个问题通常是由于Composer无法正确验证Packagist仓库的SSL证书导致的。你可以尝试更新Composer的根证书或者临时关闭SSL验证（不推荐）： bash composer config -g --unset http_proxy https_proxy composer config -g secure-http false composer clear-cache composer require vendor/package 3. 权限问题引发的报错 示例情况： bash [RuntimeException] The HOME or COMPOSER_HOME environment variable must be set for composer to run correctly 解析与解决： 当Composer没有足够的权限去读写必要的文件或目录时，就会出现这样的错误。确保你以具有足够权限的用户身份运行Composer命令，或者直接修改相关目录的权限： bash sudo chown -R $USER:$USER ~/.composer composer require vendor/package 4. 版本冲突引发的报错 示例情况： bash Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires packageA ^1.2 -> satisfiable by packageA[1.2.0]. - packageB v2.0.0 requires packageA ^2.0 -> no matching package found. - Root composer.json requires packageB ^2.0 -> satisfiable by packageB[v2.0.0]. 解析与解决： 这种报错意味着你试图安装的组件之间存在版本兼容性问题。你需要根据错误提示调整composer.json中的版本约束，例如： json { "require": { "packageA": "^1.2 || ^2.0", "packageB": "^2.0" } } 然后重新运行 composer update 或 composer install 来解决版本冲突。 5. 结语 拥抱挑战，不断探索 在面对Composer安装组件时的种种“小插曲”，身为PHP开发者的我们不仅要学会及时解决问题，更要在每一次调试中积累经验，理解Composer背后的工作原理，从而更加游刃有余地驾驭这一强大工具。毕竟，编程这趟旅程可不是全程顺风顺水的，正是这些时不时冒出来的小挑战、小插曲，才让我们的技术探索之路变得丰富多彩，充满了思考琢磨、不断成长的乐趣和惊喜。

...的专门负责验明正身（身份验证），有的像账房先生一样记录每一次行动（日志记录），还有的像是门口保安，控制人流、避免拥堵（限流处理）。当一个HTTP请求飞过来的时候，它会先经历一段奇妙的“中间件之旅”，这些家伙会逐个对请求进行加工处理，最后这个“接力棒”才会稳妥地交到真正的业务逻辑处理器手中，让它来施展实际的魔法。这样的设计使得我们的应用架构更清晰，也便于模块化开发和维护。 二、创建与注册中间件（3） 在Gin中创建和注册中间件非常直观易行。下面以一个简单的日志记录中间件为例： go package main import ( "github.com/gin-gonic/gin" "log" ) // LogMiddleware 是我们自定义的日志记录中间件 func LogMiddleware() gin.HandlerFunc { return func(c gin.Context) { log.Printf("Start handling request: %s", c.Request.URL.String()) // 调用Next函数将请求传递给下一个中间件或最终路由处理器 c.Next() log.Printf("Finished handling request: %s", c.Request.URL.String()) } } func main() { r := gin.Default() // 注册中间件 r.Use(LogMiddleware()) // 添加路由 r.GET("/hello", func(c gin.Context) { c.JSON(200, gin.H{"message": "Hello, World!"}) }) // 启动服务 r.Run(":8080") } 上述代码中，LogMiddleware是一个返回gin.HandlerFunc的函数，这就是Gin框架中的中间件形式。瞧，我们刚刚通过一句神奇的代码“r.Use(LogMiddleware())”，就像在全局路由上挂了个小铃铛一样，把日志中间件给安排得明明白白。现在，所有请求来串门之前，都得先跟这个日志中间件打个照面，让它给记个账嘞！ 三、多个中间件的串联与顺序（4） Gin支持同时注册多个中间件，并按照注册顺序依次执行。例如，我们可以添加一个权限验证中间件： go func AuthMiddleware() gin.HandlerFunc { return func(c gin.Context) { // 这里只是一个示例，实际的验证逻辑需要根据项目需求编写 if isValidToken(c) { c.Next() } else { c.AbortWithStatusJSON(http.StatusUnauthorized, gin.H{"error": "Unauthorized"}) } } } //... // 在原有基础上追加新的中间件 r.Use(AuthMiddleware()) //... 在上面的代码中，我们新增了一个权限验证中间件，它会在日志中间件之后执行。要是验证没过关，那就甭管了，直接喊停请求的整个流程。否则的话，就让它继续溜达下去，一路传递到其他的中间件，再跑到最后那个终极路由处理器那里去。 四、结语（5） 至此，我们已经在Go Gin中设置了多个中间件，并理解了它们的工作原理和执行顺序。实际上，中间件的功能远不止于此，你可以根据项目需求定制各种功能强大的中间件，如错误处理、跨域支持、性能监控等。不断尝试和探索，你会发现Gin中间件机制能为你的项目带来极大的便利性和可扩展性。而这一切，只需要我们发挥想象力，结合Go语言的简洁之美，就能在Gin的世界里创造无限可能！

...$.ajax方法设置HTTP请求头后，我们进一步探讨其在现代Web开发中的实际应用场景与重要性。 随着API驱动架构的普及和跨域资源共享（CORS）需求的增长，正确设置请求头成为了开发者必备技能。例如，在OAuth 2.0授权机制中，客户端需携带access_token等信息在请求头Authorization字段中以验证用户身份。如同文章示例中的sso_token，它是实现单点登录（SSO）的关键环节，确保了服务端能够识别并信任发起请求的客户端。 此外，随着JSON Web Tokens (JWT) 的广泛应用，请求头中的Authorization常用于传递经过签名的JSON令牌，实现无状态、安全的身份验证。而Accept头部则用来指示服务器返回数据的格式，如本文所展示的"application/json; charset=utf-8"，确保客户端能正确解析响应内容。 最近，Fetch API逐渐替代传统的XMLHttpRequest成为前端异步通信的新标准。在使用Fetch时，设置请求头的方式略有不同，但原理相似，例如： javascript fetch(base_path + 'aa/getList', { method: 'GET', headers: new Headers({ 'Accept': 'application/json; charset=utf-8', 'Authorization': 'Bearer ' + jwtToken }) }) .then(response => response.json()) .catch(error => console.error('Error:', error)); 因此，无论是jQuery的$.ajax还是原生Fetch API，对请求头的精准控制都是提升应用性能、保证数据安全、优化用户体验的重要手段。随着HTTP/2和HTTP/3协议的推广，未来可能还会出现更多针对请求头的优化策略和技术实践，值得广大开发者关注和学习。

...ens（JWT）进行身份验证时，如何安全地封装和解码包含敏感信息的JSON数组成为了研究热点。 综上所述，JSON数组在现代Web开发中不仅扮演着数据交换的关键角色，而且随着技术发展不断拓展其应用场景。从提高性能优化到强化数据安全性，JSON数组的相关实践和研究都在与时俱进，为构建高效、安全的Web应用提供有力支撑。

...2_password身份验证插件则增强了数据库连接的安全性。 同时，随着云技术的发展，各大云服务商如阿里云、AWS等纷纷推出MySQL托管服务，用户无需关心底层服务器运维，即可轻松实现高可用性和扩展性。对于开发人员来说，了解如何在云环境下高效地进行数据写入操作，比如利用批量插入API减少网络延迟，或者通过参数化查询防止SQL注入攻击，成为了必不可少的知识点。 此外，关于数据库优化策略，一篇来自Oracle官方博客的文章《Maximizing MySQL Performance: Tips from the Experts》深度解读了如何通过索引设计、查询优化以及合理使用存储引擎等手段提升MySQL的数据写入效率。文中引用了大量实战案例，为数据库管理员和开发者提供了宝贵的参考经验。 综上所述，在掌握基本的MySQL数据写入操作之外，紧跟数据库技术发展的步伐，关注安全增强、云服务特性及性能优化技巧，是现代开发者必备的技能升级路径。

...ios、fetch等HTTP库对JSON数据的便捷处理方式也逐渐成为现代Web开发的标准实践。 值得注意的是，随着JSON Web Tokens (JWT) 在身份验证领域的普及，理解和熟练运用JSON相关的工具和技术愈发关键。开发者需要持续关注JSON标准的发展动态以及相关库的更新情况，以便在项目中选择最适合自己的JSON处理方案，进一步提升开发效率和应用性能。

...aScript框架，用于创建现代Web应用程序。Vue提供了一个小巧的方式来处理资料和状况，而且还可以轻松地将其与模板和UI组件融合在一起。 在Vue应用程序中，我们频繁需要从服务器取得资料，并将其展示给用户。 在本文中，我们将研究如何在Vue应用程序中应用同步查询资料。 在Vue中，可以应用Axios库运行同步查询。Axios是一个基于Promise解决方案的HTTP客户端，具有易于应用的API和对诸如浏览器和Node.js等环境的兼容。 在Vue应用程序中，我们可以部署Axios库，然后应用它来取得资料。 npm install axios 部署成功后，我们需要在Vue实例化对象中引入Axios并应用它来运行同步查询。 在以下示例中，我们应用Axios从服务器取得JSON资料，并将其保存在Vue组件的data属性中。 import axios from 'axios' export default { name: 'MyComponent', data: function () { return { myData: null } }, created: function () { const self = this axios.get('/api/mydata') .then(function (response) { self.myData = response.data }) .catch(function (error) { console.log(error) }) } } 在上面的示例中，我们首先引入Axios库并将其保存在属性axios中。 我们然后建立了一个Vue组件，并在其data属性中定义了一个myData属性。 在Vue组件的created生命周期中，我们应用axios.get方法运行查询，并在响应返回时将资料保存在myData属性中。 在发生错误时，我们应用console.log方法记录错误日志。 现在，我们已经了解了如何在Vue应用程序中应用同步查询取得资料。 虽然同步查询对于简单的低资料量查询非常有用，但对于大型查询或需要更高性能的应用程序，请考虑应用异步查询。

...的发展，JSON作为HTTP请求和响应的标准格式，其重要性进一步提升。例如，GraphQL这一现代API查询语言就以JSON格式传递查询和结果，提供了一种更灵活、高效的客户端与服务器间数据交互方式。 此外，在数据存储领域，MongoDB等NoSQL数据库更是直接以内置支持JSON的BSON格式存储文档型数据，极大地简化了数据模型设计和查询过程。 值得注意的是，随着JSON Web Tokens（JWT）的普及，JSON还在安全认证方面发挥着关键作用。JWT利用JSON格式封装用户信息，通过加密算法保证数据传输的安全性，被广泛应用于无状态、跨域的身份验证场景。 总之，从数据交换、API设计到数据存储和安全认证，JSON已成为现代软件开发不可或缺的一部分。深入理解和掌握JSON及其相关工具和技术，对于提升开发者工作效率和应用性能具有重要意义。未来，随着技术演进及新应用场景的拓展，JSON的作用和影响力预计将进一步增强。

... Protocol）服务器的安全性与效率问题引起了广泛关注。在实际应用中，如FileZilla这样的FTP客户端软件与服务器端的交互过程中，时常会遇到用户登录失败的问题。文章中提及的现象“530 Login incorrect”是FTP服务拒绝用户认证的常见错误代码，其背后的原因往往涉及到服务器端的身份验证配置，尤其是PAM（Pluggable Authentication Modules）模块的设置。 近日，一项针对Linux系统下vsftpd服务器安全强化的研究报告指出，通过优化PAM配置可以有效防止未经授权的访问尝试，并确保合法用户的正常登录。例如，正确配置/etc/pam.d/vsftpd文件中的auth与account模块规则，利用pam_userdb.so从指定数据库（如/etc/vsftpd/loginusers）进行用户验证，能够实现更精细化的权限控制与安全管理。 同时，值得注意的是，对于日志审计的重要性也不容忽视。像/var/log/secure这样的系统日志文件，记录了sshd服务以及其他安全相关的事件信息，是排查身份验证问题、追踪异常登录行为的重要线索来源。因此，在应对FTP登录失败等问题时，运维人员除了细致检查PAM配置之外，还应充分利用日志分析工具，实时监控并及时响应潜在的安全威胁。 此外，鉴于FTP协议本身存在的安全隐患（如明文传输密码），许多企业正逐步转向更为安全的FTPS或SFTP等加密传输协议。相关技术社区和研究机构也在不断发布新的解决方案和最佳实践，以帮助用户更好地管理和维护他们的FTP服务器环境，确保数据传输的安全性和稳定性。

...转载内容。原文链接：https://blog.csdn.net/qq_38765404/article/details/78777934。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。 在spring 4.2后，提供了跨域注解@CrossOrigin https://spring.io/guides/gs/rest-service-cors/ Enabling CORS Controller method CORS configuration So that the RESTful web service will include CORS access control headers in its response, you just have to add a @CrossOrigin annotation to the handler method: src/main/java/hello/GreetingController.java 用例： 　@CrossOrigin(origins = "http://localhost:9000")@GetMapping("/greeting")public Greeting greeting(@RequestParam(required=false, defaultValue="World") String name) {System.out.println("==== in greeting ====");return new Greeting(counter.incrementAndGet(), String.format(template, name));} This @CrossOrigin annotation enables cross-origin requests only for this specific method. By default, its allows all origins, all headers, the HTTP methods specified in the @RequestMapping annotation and a maxAge of 30 minutes is used. You can customize this behavior by specifying the value of one of the annotation attributes: origins, methods, allowedHeaders, exposedHeaders, allowCredentials or maxAge. In this example, we only allow http://localhost:8080 to send cross-origin requests. @CrossOrigin注解是被注解的方法具备接受跨域请求的功能。默认情况下，它使方法具备接受所有域，所有请求消息头的请求。。。。这个例子中，我们仅接受 http://localhost:8080发送来的跨域请求。 本篇文章为转载内容。原文链接：https://blog.csdn.net/qq_38765404/article/details/78777934。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...许多公司采用NTLM身份验证代理来保护内部资源和用户数据。CNTLM作为一款开源的本地代理软件，因其能够为不支持NTLM认证的应用程序提供中间层代理服务而广受欢迎。然而，对于那些正在寻求更高效、安全的企业级解决方案的IT管理员来说，除了CNTLM之外，还有其他值得关注的技术趋势和发展。 例如，近期微软推出了基于Kerberos协议的新型身份验证机制，它结合了现代化的安全特性和易用性，正逐渐成为企业内网访问外部资源的标准配置。同时，一些云服务商如Azure AD应用代理也提供了无缝的身份验证服务，允许用户无需额外配置本地代理即可通过公司防火墙安全地访问外部应用，如GitHub或其他SaaS平台。 此外，随着零信任安全模型的兴起，越来越多的企业开始探索如何利用身份识别与访问管理（IAM）策略实现细粒度的权限控制。这包括对每个请求进行实时的身份验证、授权决策，以及使用多因素认证（MFA）等技术提升安全性。 深入探究历史背景，我们发现HTTP代理技术和身份验证标准的发展是紧密相连的，从早期的简单代理到如今广泛使用的NTLM和Kerberos，再到未来可能普及的OAuth 2.0和JWT等现代认证方式。因此，在实际操作中选择并配置适合自身环境的代理工具及认证方法显得尤为重要。 总之，尽管本文介绍了CNTLM在解决特定环境下代理问题的应用，但与时俱进地关注并理解不断发展的身份验证技术和企业级网络解决方案，无疑将有助于企业和IT专业人员构建更为安全、高效的内外网连接体系。

...件安全密钥进行SSH身份验证，这将极大提升SSH登录的安全性和便捷性。用户现在可以通过物理设备，如YubiKey等，作为第二因素进行身份验证，从而降低因密钥管理不当导致的安全风险。 此外，针对企业级应用中的SSH密钥管理问题，一些云服务提供商如AWS、Azure也推出了专门的密钥管理服务，以帮助企业更好地遵循安全最佳实践，如定期更换密钥、禁用不活跃密钥等。例如，AWS的IAM SSH密钥管理功能允许用户通过AWS控制台或API创建、监控和删除SSH密钥对，确保在整个开发运维过程中，密钥生命周期得到有效管控。 深入技术层面，理解SSH协议如何与其他安全机制（如公钥基础设施PKI）结合使用，以及如何利用工具如HashiCorp Vault实现自动化、策略驱动的SSH密钥分发和轮换，对于提高系统安全性至关重要。同时，开发者应持续关注相关领域的安全公告和研究论文，以便及时应对新的安全威胁和挑战。

...arJS开发中，对$httpBackend服务的理解与恰当使用对于优化前端数据交互和提升测试效率具有重要意义。然而，随着技术的演进，Angular团队在AngularJS 1.6版本后已正式弃用$httpBackend，并推荐开发者转用Angular的新版本以及配套的HttpClient模块。在Angular（不带JS后缀）中，HttpClient提供了一套更现代、功能更强大的API来处理HTTP请求，并且更好地融入了RxJS响应式编程模型。 针对模拟HTTP交互的需求，Angular引入了诸如HttpTestingController等测试工具，它允许我们在单元测试或端到端测试中精确地模拟和验证HTTP请求与响应。通过这种方式，开发者可以在无需真实服务器的情况下进行深度集成测试，极大地提升了测试质量和开发效率。 此外，在实际项目开发中，遵循单一职责原则和依赖注入的设计思想同样重要。避免在同一控制器或服务中多次创建HTTP客户端实例，可以有效防止资源浪费并降低代码复杂度。通过封装$http或HttpClient服务为单例模式，不仅能解决本文所述错误问题，也能使代码更具可读性和可维护性，进一步契合Angular框架的设计理念和最佳实践。 总之，无论是深入理解AngularJS中的$httpBackend服务，还是紧跟Angular HttpClient的最新进展，都是现代前端开发者必备技能之一。只有持续关注和学习最新的技术和最佳实践，才能确保在瞬息万变的技术江湖中保持领先，打造出高效稳定的应用程序。

...容忽视的问题。在发送HTTP请求这个过程中，鉴权可是个顶顶重要的环节。它就相当于咱们的大门保安，能帮咱们认出哪个是自家用户，哪个是想浑水摸鱼的非法分子，从而把那些不安好心的家伙挡在外面，保障系统的安全。Spring Boot为我们提供了一套完整的框架，用于处理鉴权问题。但是，在实际应用中，可能会遇到一些问题。本文将详细介绍这些问题，并给出相应的解决方案。 二、问题1 鉴权失败后的响应结果不一致 当我们进行鉴权时，如果鉴权失败，服务器通常会返回一个错误的状态码（如401）并附带一个错误信息。不过，有时候啊，服务器这家伙可能会耍个小脾气，要么就给你个空荡荡的回复，要么干脆一声不吭，啥反应都没有。这就导致了客户端无法判断鉴权是否成功。 三、解决方法 在Spring Boot中，我们可以自定义一个全局异常处理器来处理这种情况。例如： java @ControllerAdvice public class GlobalExceptionHandler { @ResponseBody @ResponseStatus(HttpStatus.UNAUTHORIZED) public ResponseEntity handleAuthenticationException(HttpServletResponse response, AuthenticationException authException) { // 设置状态码和消息 response.setStatus(HttpStatus.UNAUTHORIZED.value()); response.setHeader("WWW-Authenticate", "Basic realm=\"myRealm\""); return new ResponseEntity<>(authException.getMessage(), HttpStatus.UNAUTHORIZED); } } 这样，当鉴权失败时，服务器就会返回一个包含错误信息的状态码和消息。 四、问题2 无法获取到鉴权失败的具体原因 在某些情况下，服务器可能会返回一个通用的错误信息，而没有具体的错误原因。这使得开发者很难找出问题所在。 五、解决方法 同样地，我们可以通过自定义一个全局异常处理器来解决这个问题。我们可以将具体的错误原因作为异常的信息，然后将其返回给客户端。例如： java @ControllerAdvice public class GlobalExceptionHandler { @ResponseBody @ResponseStatus(HttpStatus.UNAUTHORIZED) public ResponseEntity handleAuthenticationException(HttpServletResponse response, AuthenticationException authException) { // 获取具体的错误原因 String errorMessage = authException.getLocalizedMessage(); // 设置状态码和消息 response.setStatus(HttpStatus.UNAUTHORIZED.value()); response.setHeader("WWW-Authenticate", "Basic realm=\"myRealm\""); return new ResponseEntity<>(errorMessage, HttpStatus.UNAUTHORIZED); } } 这样，当鉴权失败时，服务器就会返回一个包含具体错误原因的状态码和消息。 六、结论 Spring Boot提供了强大的工具来帮助我们处理HTTP请求的鉴权问题。然而，我们在实际应用中可能会遇到一些问题，需要我们自己去解决。当我们使用自定义的全局异常处理机制时，就等于给程序装上了一位机智灵活的小助手，一旦鉴权出现差错，它能迅速抓取到问题的具体原因，并且随我们心意去定制响应结果。这样一来，咱们的应用程序就能得到更加贴心、周全的保护啦。

...nterceptor拦截器扮演着举足轻重的角色。它位于业务逻辑和视图渲染之间，提供了诸如权限验证、输入校验、事务管理等强大的中间件功能。不过在实际用起来的时候，Interceptor这家伙在做事前的“把关”阶段，或者事儿后的“扫尾”阶段闹脾气、抛出异常的情况，其实并不算少见。那么，如何理解和妥善处理这类异常呢？本文将带您一起探索这个主题。 2. Struts2 Interceptor的工作原理及流程 首先，让我们回顾一下Struts2 Interceptor的基本工作原理。每个Interceptor按照配置文件中定义的顺序执行，分为“预处理”和“后处理”两个阶段： - 预处理阶段（intercept()方法前半部分）：主要用于对Action调用之前的请求参数进行预处理，例如数据校验、权限检查等。 java public String intercept(ActionInvocation invocation) throws Exception { // 预处理阶段代码 try { // 进行数据校验或权限检查... } catch (Exception e) { // 处理并可能抛出异常 } // 调用下一个Interceptor或执行Action String result = invocation.invoke(); // 后处理阶段代码 // ... return result; } - 后处理阶段（intercept()方法后半部分）：主要是在Action方法执行完毕，即将返回结果给视图层之前，进行一些资源清理、日志记录等工作。 3. Interceptor抛出异常的场景与处理 假设我们在预处理阶段进行用户权限验证时发现当前用户无权访问某个资源，此时可能会选择抛出一个自定义的AuthorizationException。 java public String intercept(ActionInvocation invocation) throws Exception { // 模拟权限验证失败 if (!checkPermission()) { throw new AuthorizationException("User has no permission to access this resource."); } // ... } 当Interceptor抛出异常时，Struts2框架默认会停止后续Interceptor的执行，并通过其内部的异常处理器链来处理该异常。若未配置特定的异常处理器，则最终会显示一个错误页面。 4. 自定义异常处理策略 对于这种情况，开发者可以根据需求定制异常处理策略。比方说，你可以亲手打造一个定制版的ExceptionInterceptor小助手，让它专门逮住并妥善处理这类异常情况。或者呢，你也可以在struts.xml这个配置大本营里，安排一个全局异常的乾坤大挪移，把特定的异常类型巧妙地对应到相应的Action或结果上去。 xml /error/unauthorized.jsp 5. 总结与探讨 在面对Interceptor拦截器抛出异常的问题时，理解其运行机制和异常处理流程至关重要。作为开发者，咱们得机智地运用Struts2给出的异常处理工具箱，巧妙地设计和调配那些Interceptor小家伙们，这样才能稳稳保证系统的健壮性，让用户体验溜溜的。同时呢，咱也得把代码的可读性和可维护性照顾好，让处理异常的过程既够严谨又充满弹性，可以方便地扩展。这说到底，就是在软件工程实践中的一种艺术活儿。 通过以上的探讨和实例分析，我们不仅揭示了Struts2 Interceptor在异常处理中的作用，也展现了其在实际开发中的强大灵活性和实用性。希望这篇文章能帮助你更好地驾驭Struts2，更从容地应对各种复杂情况下的异常处理问题。

...转载内容。原文链接：https://blog.csdn.net/CodeJolt/article/details/132261815。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。 iOS-申请邓白氏编码的详细流程介绍及实践演示 邓白氏编码（DUNS）是由全球商业信息公司Dun & Bradstreet（D&B）颁发的一种全球唯一标识符，用于对企业、组织和个人进行身份验证和管理。在iOS开发中，申请邓白氏编码可以帮助开发者更好地识别和管理其应用程序。本篇文章将详细介绍在iOS平台上申请邓白氏编码的流程，并提供相应的Java源代码作为演示。 步骤一：注册DUNS账号 首先，您需要在D&B官方网站注册一个DUNS账号。打开D&B官方网站并按照指引填写相关信息。完成注册后，您将获得一个唯一的DUNS账号。 步骤二：准备材料 在申请邓白氏编码之前，您需要准备一些必要的材料： 企业相关信息：包括企业名称、地址、法定代表人信息等。 联系人信息：提供能与您联系的邮箱地址、电话号码等。 营业执照或注册证明：提供企业的官方注册证明材料。 步骤三：填写申请表格 登录D&B官方网站，进入邓白氏编码申请页面。根据页面指引，填写相应的申请表格。在表格中准确地填写企业信息、联系人信息等。 步骤四：提交申请 在完成申请表格后，检查所有填写的信息是否正确无误。确认无误后，点击提交申请按钮。 步骤五：审核与确认 提交申请后，D&B将对您的申请进行审核。这个过程可能需要一定时间，请耐心等待。一旦审核通过，您将收到一封确认邮件，并获得您的邓白氏编码。 通过以上步骤，您已成功申请到了邓白氏编码。 本篇文章为转载内容。原文链接：https://blog.csdn.net/CodeJolt/article/details/132261815。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...hell无法连接远程服务器：问题排查与解决之道 0. 引言 在我们的日常运维工作中，Shell作为强大的命令行工具，其远程连接功能是实现高效运维的重要手段。然而，有时候咱们也会碰上这么个情况：Shell死活连不上远程服务器，这可真让人头疼，给咱的工作平添了不少小麻烦呢！这篇东西，咱们要接地气地深挖这个问题，不仅会甩出一些实例代码的“硬货”，还会掰开揉碎了细细讲解，保准让你对这类问题从里到外、彻彻底底地整明白，最后顺顺利利地把它们给摆平喽！ 1. 常见的Shell远程连接方式 SSH 首先，让我们回顾一下如何使用Shell（主要是通过SSH协议）连接远程服务器。假设我们有一个远程服务器IP为192.168.1.100，用户名为user： bash ssh user@192.168.1.100 当你执行这段命令后，若出现连接失败的情况，别慌！下面我们将逐步揭示可能的原因，并给出相应的解决方案。 2. 连接失败原因及对策 2.1 网络问题 现象：执行上述SSH命令后，长时间无响应或提示“Connection timed out”。 思考过程：这是最常见的问题，可能是网络不通或者防火墙设置导致的。 解决方法： - 检查本地主机和目标服务器间的网络连通性，例如用ping命令测试： bash ping 192.168.1.100 - 如果ping不通，则检查网络配置或联系网络管理员确认是否对特定端口进行了封锁，SSH默认使用的是22号端口。 2.2 SSH服务未运行 现象：网络通畅，但仍然无法连接。 理解过程：此时我们需要考虑目标服务器上的SSH服务是否正在运行。 验证与解决： - 登录到目标服务器（如果可以物理访问），检查SSH服务状态： bash sudo systemctl status sshd - 若发现服务未启动，启动SSH服务： bash sudo systemctl start sshd 2.3 用户名或密码错误 现象：输入正确的IP地址后，提示认证失败。 人类的思考：这时我们要反思输入的用户名和密码是否准确无误。 处理方式： - 确认并重新输入正确的用户名和密码，如果忘记密码，可以通过其他途径重置。 - 如果启用了公钥认证，确保本地计算机的私钥与远程服务器上对应的公钥匹配。 2.4 防火墙限制 现象：所有配置看似正确，但还是不能连接。 探讨性话术：此时，我们或许应该把目光投向服务器的防火墙设置。 解决策略： - 在服务器上临时关闭防火墙（仅用于测试，不建议长期关闭）： bash sudo ufw disable - 或者开放22号端口： bash sudo ufw allow 22/tcp 3. 结论与总结 面对Shell无法连接远程服务器的问题，我们应从多个角度去分析和解决，包括但不限于网络、服务、认证以及防火墙等环节。每一步都伴随着我们的思考、尝试与调整。记住了啊，解决问题这整个过程其实就像一次实实在在的历练和进步大冒险。只要你够耐心、够细致入微，就一定能找到那把神奇的钥匙，然后砰的一下，远程世界的大门就为你敞开啦！下次再遇到类似情况，不妨淡定地翻开这篇文章，跟随我们的思路一步步排查吧！

...接到RabbitMQ服务器的情况。然而，在某些情况下，客户端可能会抛出如下的错误信息： Error: Connection error: SSL certificate verification failed. 这个错误意味着客户端在尝试建立SSL连接时，无法验证服务器提供的SSL证书。这可能是因为好几种原因，比如设置错了、证书到期了，或者是证书本身就有点问题。要搞定这个问题，咱们得对RabbitMQ的SSL设置有点儿了解，还得会点儿排查的技巧。 3. 原因分析 首先，让我们来分析一下可能的原因。在RabbitMQ中，SSL证书主要用于确保通信的安全性和身份验证。如果客户端无法验证服务器提供的证书，就会导致连接失败。 - 证书问题：最常见的原因是SSL证书本身有问题。比如证书已经过期，或者证书链不完整。 - 配置问题：另一个常见问题是SSL配置不正确。比如说，客户端可能没把CA证书的路径配对好，或者是服务器那边搞错了证书。 - 环境差异：有时候，开发环境和生产环境之间的差异也会导致这个问题。比如开发环境中使用的自签名证书，在生产环境中可能无法被信任。 4. 解决方案 接下来，我会分享一些解决这个问题的方法。嘿，大家听好了！这些妙招都是我亲测有效的，不过嘛，不一定适合每一个人。希望能给大伙儿带来点儿灵感，让大家脑洞大开！ 4.1 检查证书 首先，我们需要检查SSL证书是否有效。可以使用openssl命令行工具来进行检查。例如： bash openssl s_client -connect rabbitmq.example.com:5671 -showcerts 这条命令会显示服务器提供的证书链，我们可以查看证书的有效期、签发者等信息。如果发现问题，需要联系证书颁发机构或管理员进行更新。 4.2 配置客户端 如果证书本身没有问题，那么可能是客户端的配置出了问题。我们需要确保客户端能够找到并信任服务器提供的证书。在RabbitMQ客户端配置中，通常需要指定CA证书路径。例如，在Python的pika库中，可以这样配置： python import pika import ssl context = ssl.create_default_context() context.load_verify_locations(cafile='/path/to/ca-bundle.crt') connection = pika.BlockingConnection( pika.ConnectionParameters( host='rabbitmq.example.com', port=5671, ssl_options=pika.SSLOptions(context) ) ) channel = connection.channel() 这里的关键是确保cafile参数指向的是正确的CA证书文件。 4.3 调试日志 如果上述方法都无法解决问题，可以尝试启用更详细的日志记录来获取更多信息。在RabbitMQ服务器端，可以通过修改配置文件来增加日志级别： ini log_levels.default = info log_levels.connection = debug 然后重启RabbitMQ服务。这样可以在日志文件中看到更多的调试信息，帮助我们定位问题。 4.4 网络问题 最后，别忘了检查网络状况。有时候，防火墙规则或者网络延迟也可能导致SSL握手失败。确保客户端能够正常访问服务器，并且没有被中间设备拦截或篡改数据。 5. 总结与反思 通过以上几个步骤，我们应该能够解决大部分的“Connection error: SSL certificate verification failed”问题。当然了，每个项目的具体情况都不一样，可能还得根据实际情况来灵活调整呢。在这过程中，我可学了不少关于SSL/TLS的门道，还掌握了怎么高效地找问题和解决问题。 希望大家在遇到类似问题时，不要轻易放弃，多查阅资料，多尝试不同的解决方案。同时，也要学会利用工具和日志来辅助我们的排查工作。希望我的分享能对你有所帮助！