随笔分类 - WEB
摘要:1. 简单项目demo Com.hoo.mq路径下(除了com.hoo.mq.spring)是普通java中使用activeMQ. Com.hoo.mq.spring路径下是非web环境spring集成activeMQ。 Com.tgb.SpringActivemq路径下是web环境下spring
阅读全文
摘要:1.实现方式 使用servlet和servlet-mapping实现重定向 <!-- vip登录页面做特殊处理 --> <servlet> <servlet-name>vipLoginPath</servlet-name> <jsp-file>/vip/vipLogin.html</jsp-file
阅读全文
摘要:1.问题描述 在web项目中,使用filter过滤器十分常见,但是在过滤器中spring Bean即使在配置文件中配置了扫描filter对应的包,也无法正确注入spring 管理的Bean。 2.原因 大概如下<摘自知乎>: 这其中涉及到web启动的原理。 众所周知,web应用启动的顺序是:list
阅读全文
摘要:防御的方法主要有两种<java示例> 1.检查Referer字段 HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址。在处理敏感数据请求时,通常来说,Referer字段应和请求的地址位于同一域名下。以上文银行操作为例,Referer字段地址通常应该是转账按钮所在的网页地址,应该
阅读全文
摘要:跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 ***跟跨网站脚本(XSS)相
阅读全文
摘要:web中的Filiter过滤器: 当req不改变时,filiter在web中的配置和顺序没有关系; 但当在filiter中将其改变类型时,会导致其改变的request类型包装层次过多,无法获取其中的参数; 例:http://www.cnblogs.com/springlight/p/6208908.
阅读全文
摘要:1. 过滤特殊字符 避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤: PHP的htmlentities()或是htmlspecialchars()。 Python的cgi.escape()。 ASP的Server.HTMLEncode()。 ASP.NET的S
阅读全文
摘要:*XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任 跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTM
阅读全文
摘要:1.前言: 1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法; 1.2 通过requst.getParameter(key)方法获得参数值; 这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: applicatio
阅读全文
摘要:概念解释: classpath : 即项目中WEB-INF下面的classes目录; 应用: 【01】 src路径下的文件在编译后会放到WEB-INF/classes路径下。默认的classpath是在这里。直接放到WEB-INF下的话,是不在classpath下的。用ClassPathXmlApp
阅读全文
浙公网安备 33010602011771号