bee

来源： oschina 链接： https://my.oschina.net/u/3728166/blog/4288007

HTML注入-存储型 这是一个存储型的漏洞，有一个留言功能，可以尝试xss弹窗 在level low下 输入<script>alert(/bee/)</script>后点击提交，就会执行该语句并显示弹窗 也可以读取用户cookie，<script>alert(document.cookie)</script> 根据源码找到了数据存储的地方 （已经被我删了） 在查看源码后，三个级别都使用了sqli_check_3函数进行语句转义 下列字符受影响： \x00 \n \r \ ' " \x1a 如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。 当设置等级为medium时，调用xss_check_4进行防xss保护 1 function xss_check_4( $data ) 2 { 3 // addslashes - returns a string with backslashes before characters that need to be quoted in database queries etc. 4 // These characters are single quote ('), double quote ("), backslash (\) and NUL (the NULL byte). 5 // Do NOT use this for

Security Controls 安全控制 Access Based on IP Address location /admin/ { deny 10.0.0.1; allow 10.0.0.0/20; allow 2001:0db8::/32; #IPV6 deny all; #其他地址返回403状态码 } Allowing Cross-Origin Resource Sharing（CORS） 部分资源来自于其他域名时，需要允许CORS map $request_method $cors_method { OPTIONS 11; #三种方式OPTIONS，GET，POST允许CORS GET 1; POST 1; default 0; } server { ... location / { if ($cors_method ~ '1') { #在add_header中定义 add_header 'Access-Control-Allow-Methods' 'GET,POST,OPTIONS'; add_header 'Access-Control-Allow-Origin' '*.example.com'; add_header 'Access-Control-Allow-Headers' 'DNT, Keep-Alive, User-Agent, X-Requested

点击蓝色“程序员书单”关注我哟 加个“星标”，每天带你读好书！ ​ 经过了10多年的发展，Java Web从开发框架到社区都已经非常成熟，很多程序员都可以通过使用框架很快速地搭建起一个Java Web应用，特别是近几年SpringBoot大热，干脆连配置都不需要了解了，直接一键式编译部署运行，让Java工程师的入门成本变得越来越低。 但于此同时，互联网公司对于Java的应用场景也在不断地升级换代，从单机部署再到分布式，从SOA再到微服务，Java后端技术栈变得更加庞大，对于工程师的要求也越来越高，特别是对于大公司来说更是如此，也正因为如此，对Java工程师的考察已经不限于Java Web的那套东西了，企业往往会提出更高的要求，比如需要你能够熟练使用设计模式，了解Java并发编程和JVM调优，甚至是了解分布式技术、微服务以及中间件等等。 今天的这份书单并不针对某一种技术，而是想介绍一些一些Java进阶方面的书籍，其中包括Java的一些编码规范，代码最佳实践，以及调优指南，另外还介绍了一些Java编程的黑科技，比如Java异步编程，相信这些书籍对你的Java进阶学习会有所帮助。 Java进阶系列书单 ​ 阿里巴巴Java开发手册 《阿里巴巴Java开发手册》的愿景是码出高效，码出质量。它结合作者的开发经验和架构历程，提炼阿里巴巴集团技术团队的集体编程经验和软件设计智慧

Osc乱弹歌单（2020）请戳（ 这里 ） 【今日歌曲】 @ 米老李 ：分享陈奕迅的单曲《单车(Live)》(@网易云音乐) #感恩父亲# 《单车(Live)》- 陈奕迅 手机党少年们想听歌，请使劲儿戳（ 这里 ） @ han_beilef ：粽子是真难吃啊 那是，你不看看是谁卖的， “随便挑。” 落落早知道这个事， 所以她就不吃粽子， 那粽子怎么办？ @ 落落酱 ：我的目标是。。。。。。养胖同事！自己瘦着！ “给同事吃哇！” 哇哈哈哈哈哈哈哈哈 昨天晚上做梦， 梦到好事了， 所以买了好吃的粽子跟大家分分， @ aYa_Y ：做梦梦到借给别人240万 惊喜到梦醒 “我啥时候借你的钱？梦里。” 借给你240万 你还我230万就行了。 真是厚颜无耻之人， 找人家借了六十万， 人家少要10万也不给， 还有更无耻的么？ 有！ @ 开源中国首席颈椎砖家 ：这是我目前看到的最恐怖的照片。 #王振华请求二审判决无罪# 那么现在是什么在伤害孩子们？ “1. 神职性侵，2. 西方游客东南亚雏姬，3. 巴以，4. 堕胎，5. 校园杀手，6.垃圾食品” 看的哗哗流眼泪。 @ 大陆岛民 ：好久了 谁说成年男性就不能哭了！ 有人杠你， 就不让你哭， @ CC_Liu ：遇到杠精怎么办？ “就问你红不红吧。” 找对象就不找杠精， 这个要看颜值， @ 开源中国首席大魔法师

错误分为程序的错误和由用户错误的输入引起的错误，此外还有因为各种各样意外的情况导致的错误，比如在磁盘满的时候写入、从网络爬取东西的时候，网络断了。这类错误称为异常 错误处理 　　 普通的错误处理机制就是在出错的时候返回一个错误代码，但是这样十分不方便，一是因为错误码是和正常结果一样的方式返回的，判断起来十分不方便，二是错误还需要一级一级的向上报，直到错误处理程序。 所以高级语言通常都内置了一套 try...except...finally... 的错误处理机制，Python也不例外。 try: A#如果A中的代码执行过程中出错，就会执行B中的代码 except ZeroDivisionError as e: B finally: C#C中的代码无论是否出错都会正常执行（可以不要这个）<br>。。。 如果错误有不同的类型，可以说使用多个except语句，每个语句处理一个类型的错误 另外，可以在except后面加一个else，如果没有出错，会执行else Python 的错误其实也是一个类，所有的异常类型都是从BaseException类派生的 except在捕获错误时，不但捕获该类型的错误，而且还会把子类一网打尽 try: foo() except ValueError as e: print('ValueError') except UnicodeError as e: print

Osc乱弹歌单（2020）请戳（ 这里 ） 【今日歌曲】 @ 薛定谔的兄弟 ：分享洛神有语创建的歌单「我喜欢的音乐」: 《Vale Of Tears》- Jay Clifford 手机党少年们想听歌，请使劲儿戳（ 这里 ） 说个题外话， 网易云音乐药丸啊， 各种歌拿出来就是vip，要不就灰了。 我觉得音乐专栏要不要挪地儿啊……去哪儿呢？ 【正文】 @ fineDD ：全深圳都热爆 大家都纷纷找地方乘凉， 找到了说嘛也不走了， “喵：你滚开，黑色才和凉椅最配了！” 晚上比较凉快， 不想睡觉， @ 大賢者 ：熬夜修硬盘。顺便泡面+香肠。饿了。 “我给你讲，这样的泡面我也能看饿了！” 程序员还是适合在家办公， 有什么去单位的必要么？ @ AbelKeith ：在家办公，为什么程序员在家办公的职位这么少呢？程序员真的需要去公司吗？ 没必要啊， 去公司多影响心情啊， 影响心情就影响工作效率。 @ 萌小呦 ：元气满满的一天从老板的问候结束。。。 想去给老板说， 以后不用打招呼了， “想起来见面还要打招呼就放弃了。” 下次直接离职算了， @ 缺失水分的大白菜 : 熟悉的人都离职了，就剩一个我了 看来你消化系统挺好啊， “我还以为是上一家老板不准带薪拉屎。” 家里的经济允许你离职么？ @ 皮皮猪_ ：这败 家女票,上个月在jd刷白条被骗6k,后来报警了吓唬对方;对方把钱给退了,今天又去jd刷dan

sdfsdf 服务网格作为一个改善服务到服务通信的专用基础设施层，是云原生范畴中最热门的话题。随着容器愈加流行，服务拓扑也频繁变动，这就需要更好的网络性能。服务网格能够通过服务发现、路由、负载均衡、心跳检测和支持可观测性，帮助我们管理网络流量。服务网格试图为无规则的复杂的容器问题提供规范化的解决方案 将供应链搬出中国，似乎成了过去两三个月新冠肺炎疫情衍生出的热门话题。 年初新冠肺炎疫情爆发，让中国供应链的生产活动几乎完全停顿，影响席卷全球：苹果的新 5G 有可能因疫情而延期推出，特斯拉新款芯片无法及时交付、陷入“芯片门”纠纷。其余像三星、小米、索尼等著名跨国企业，均受到供应链停摆的影响。 因此，gzxzqnz.answers.yahoo.com/question/index?qid=20200427220933AALsXF9?CP4=57tjm=11h answers.yahoo.com/question/index?qid=20200427220945AAJsLeb?QY5=88lnz=45f in.answers.yahoo.com/question/index?qid=20200427220945AAJsLeb?NL3=47fzy=65s malaysia.answers.yahoo.com/question/index?qid=20200427220945AAJsLeb

1.进入官网下载consul: https://www.consul.io/downloads.html 2.解压下载好的consul,下面是我解压后的 在上面右键打开cmd输入命令： consul agent -dev -client=0.0.0.0 以开发者模式快速启动 上面就是我们已经启动成功的consul，它内置带web页面，我们访问 http://localhost:8500 服务注册于发现 1.注册服务 我这里用postman演示 { "Datacenter": "dc1", "Node": "node01", "Address": "192.168.74.102", "Service": { "ID":"mysql-01", "Service": "mysql", "tags": ["master","v1"], "Address": "192.168.74.102", "Port": 3306 } } 这时在刷新consul页面 2.服务查询 来源： oschina 链接： https://my.oschina.net/u/2315253/blog/4258589

　　大家好，我是痞子衡，是正经搞技术的痞子。今天痞子衡给大家介绍的是 恩智浦i.MX RT1xxx系列MCU的划时代新品i.MXRT1170 。 　　自2017年开始，每年的6月25日恩智浦都会在北京举行微控制器业务媒体交流会，到今年（2019）已经是第三次了。每年的媒体交流会上，恩智浦的高级副总裁Geoff Lees都会给大家带来最新的产品消息。 　　2017年Geoff给大家科普了FD-SOI工艺以及正式推出跨界处理器第一款产品i.MXRT1050； 　　2018年Geoff给大家带来了i.MXRT1060和i.MXRT1020两款新品，此外还有RT1050的全新大封装； 　　2019年的媒体交流会，痞子衡作为后勤工作人员也去到了现场，Geoff本来是带了三款新品（i.MX7ULP、i.MXRT1010、i.MXRT1170）的，但现场记者们的焦点都集中在7ULP和RT1010上，划时代的RT1170意外被冷落了，这让痞子衡在旁边急的呀，恨不得变身记者上去也提问一个RT1170的问题，把其他记者注意力吸引到RT1170上，后来直到媒体交流会结束，RT1170始终没有进入记者们的视线，随后各大媒体发的新闻稿里也都没有出现RT1170的踪影，难道RT1170就这么被埋没了？ 　　有句老话说得好，是金子总会发光的。今年10月2日