sina-p

摘要： 记一次工作上遇到的CORS跨域资源共享漏洞 应用供应商通过安全扫描工具，扫出了CORS跨域资源共享漏洞，如下 我们可以在服务器层面（以tomcat为例），设置过滤器，类似于白名单，允许特定的域进行访问 如图在应用的web.xml进行配置图中允许所有域的进行访问，你可以设置类似白名单，*改成你想通过的 阅读全文

摘要： 记一次现场业务阻塞，执行时间长的问题 要客户打了一个线程栈，发现有十几个被阻塞的线程，大家都在等待8080-14线程（运行状态） 看线程栈貌似是一条业务的error日志导致线程阻塞，其实查看服务器的堆栈，有loadclass的字眼，像是累加载卡住了，查看其他被阻塞的线程也是在loadclass 估计 阅读全文

摘要： 调查分析现场的一次内存泄漏 首先先了解jvm 内存模型划分 《深入理解Java虚拟机（第2版）》中的描述是下面这个样子的： JVM的内存结构大概分为： 堆（Heap）：线程共享。所有的对象实例以及数组都要在堆上分配。回收器主要管理的对象。 方法区（Method Area）：线程共享。存储类信息、常量 阅读全文

摘要： 先看一个服务器的类加载视图（使用Arthas查看很方便，阿里巴巴开源的 Java 诊断工具） 当然，Bootstrapclassloader是ExtClassloadered的父级关系，自己也可以自定义classloader在web类加载器下面，说到这里就不得不提jvm的双亲委派机制 双亲委派机制 阅读全文

摘要： 当一些系统出于安全问题，用户忘了存储在数据库的密码，这时将不提供找回密码的方案，只能自己update用户表中的数据 以derby数据库为例子： 1 关闭服务器，进入derby数据库的bin目录下，windows用户支持ij.bat 2 connect 'jdbc:derby:../system;cr 阅读全文