脚本

二十多年来，跨站脚本（简称 XSS）漏洞一直是主流网站的心头之痛。为什么过了这么久，这些网站还是对此类漏洞束手无策呢？ 对于最近 eBay 网站曝出的跨站脚本漏洞，你有什么想法？为什么会出现这样的漏网之鱼？一个如此大规模的网站，不应该具备可靠的网关安全技术以阻止任何情况下的 XSS 攻击么？ 即便从上世纪 90 年代开始，跨站脚本漏洞就已经为人们所熟知。时至今日，它仍在贻害为数不少的网站。大多数主流网站，包括谷歌，CNN，PayPal 以及 Facebook，都曾受过 XSS 漏洞 的影响。该漏洞也常年出现在 CWE/SANS 前 25 个最危险的编程错误、OWASP 前 10 个最致命的 Web 应用安全风险之类的榜单。 XSS 攻击与大多数应用层攻击（诸如 SQL 注入攻击）不同，因为它攻击的是应用的用户，而非应用本身或应用服务器。这类攻击会往 Web 应用的内容中注入代码，通常是 Java Script 之类的客户端代码。大多数网站都有许许多多的注入位置，包括搜索框、反馈表格，cookie 以及论坛等。借助 XSS 漏洞，黑客可以窃取数据，控制用户的会话，运行恶意代码，或操纵受害用户浏览器中显示的内容。 像 eBay 这样的网站，几乎完全基于用户产生的内容，通常在用户的项目描述部分包含许多活动内容（Active Content），比如 JavaScript 和 Flash

群里有朋友问到windows下如何设计开机自启动的脚本，一般而言小鱼大多还是在linux环境下运维，windows的bat了解的很少，windows运行机制也不是特别了解，不过既然朋友问到这个问题，虽然是个小问题，不过可能以后确实会用到这个，就找了一些资料进行了测试和整理 例如开机运行的bat脚本存储的位置为C:\script\script.bat，脚本的内容为： lsnrctl start sqlplus / as sysdba @c:\script\script.sql 需要注意的是windows下的bat和linux unix中的shell不一样，bat中没有<<EOF分界符，不过sqlplus却提供给我们另外一种方式来在bat中执行sql的命令。 C:\Users\Administrator>sqlplus -help SQL*Plus: Release 10.2.0.4.0 - Production Copyright (c) 1982, 2007, Oracle. All Rights Reserved. 。。。 is: @ | [. ] [ ...] Runs the specified SQL*Plus script from a web server (URL) or the local file system (filename.ext) with

字符串的创建： 字符串的创建： var str = "hello world"; //常量，基本类型创建 var str2 = new String("hello world"); //构造函数创建 字符串的属性： str.length //字符串的长度 字符串常见API： 1、 String.prototype.charAt() charAt 方法返回指定位置的字符，参数是从0开始编号的位置。 var str = "hello,world"; console.log(str.charAt(1)); // e //这个方法我们可以使用数组下标来代替。 var str = "hello,world"; console.log(str[1]);//e //需要注意的是，如果参数为负数，或者大于等于字符串的长度，charAt返回空字符串。 2、String.prototype.slice() //slice方法用于从原字符串取出子字符串并返回，不改变原字符串。它的第一个参数是子字符串的开始位置，第二个参数是子字符串的结束位置（不含该位置）。 'JavaScript'.slice(0, 4) // "Java" //如果省略第二个参数，则表示子字符串一直到原字符串结束。 'JavaScript'.slice(4) // "Script" //如果参数是负值，表示从结尾开始倒数计算的位置

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %> <!DOCTYPE html> <html> <head> <% String path = request.getContextPath(); String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; %> <meta charset="utf-8"> <link href="<%=basePath%>css/themes/default/easyui.css" rel="stylesheet" type="text/css"/> <%-- <link href="<%=basePath%>css/themes/icon.css" rel="stylesheet" type="text/css"/> --%> <link href="<%=basePath%>css/themes/color.css" rel="stylesheet" type="text/css"/> <%-- <link href="<%=basePath%

jsp代码=== <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8" %> <%@page import="java.util.*"%> <%@taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%> <!DOCTYPE html> <html> <head> <% String path = request.getContextPath(); String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; String user_no = session.getAttribute("user_no").toString(); //从session里把a拿出来，并赋值给M String role_name = session.getAttribute("role_name").toString(); //从session里把a拿出来，并赋值给M String user_name = session.getAttribute("user

效果图 <!doctype html> <html lang=""> <head> <meta charset="utf-8"> <meta name="description" content=""> <meta name="viewport" content="width=device-width, initial-scale=1"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <meta name="renderer" content="webkit"> <title>biPcMobile</title> <link rel="apple-touch-icon" href="apple-touch-icon.png"> <!-- Place favicon.ico in the root directory --> <!-- build:css styles/vendor.css --> <link rel="stylesheet" href="/bower_components/bootstrap/dist/css/bootstrap.min.css"> <!-- bower:css --> <!-- endbower --> <!-- endbuild --> <!-- build:css styles

Javascript常用函数及基本教材集合 每一项都是js使用中的小技巧，基础但十分的实用！ 1.document.write(""); 输出语句 2.JS中的注释为// 3.传统的HTML文档顺序是: document->html->(head,body) 4.一个浏览器窗口中的DOM顺序是: window->(navigator,screen,history,location,document) 5.得到表单中元素的名称和值: document.getElementById("表单中元素的ID号").name(或value) 6.一个小写转大写的JS: document.getElementById("output").value=document.getElementById("input").value.toUpperCase(); 7.JS中的值类型: String,Number,Boolean,Null,Object,Function 8.JS中的字符型转换成数值型: parseInt(),parseFloat() 9.JS中的数字转换成字符型: ("" 变量) 10.JS中的取字符串长度是: (length) 11.JS中的字符与字符相连接使用 号. 12.JS中的比较操作符有: ==等于,!=不等于,>,>=,<.<= 13.JS中声明变量使用: var来进行声明

Visdom是Facebook在2017年发布的一款针对PyTorch的可视化工具，在本地PC上很好用。当迁移到内网服务器上时，我发现对于某些作图功能无法正常显示，甚至直接连toolbar都消失了。找遍全网，发现四个中文相关的问题， https://www.cnblogs.com/yuanzhoulvpi/p/9244186.html https://blog.csdn.net/qq_22194315/article/details/78827185 https://blog.csdn.net/AnthongDai/article/details/79117472 http://tieba.baidu.com/p/5397000061 均无法解决。遂追至官方github的issue部分，找到了症结所在，一般内网服务器很少配备VPN条件，所以Visdom无法下载某些作图组件，GFW的问题。 总结解法如下： 下载以下两个文件，放至 /home/amax/anaconda3/lib/python3.6/site-packages/visdom/static/js下。 1, plotly.js-master: https://github.com/plotly/plotly.js 2, react-gird-layout-master: https://github.com/STRML

C#开发Unity游戏教程之Scene视图与脚本的使用 Unity中Scene 视图的快捷操作 Scene 视图是开发者开发游戏时，操作最频繁的视图。因为一旦一个游戏对象被添加到游戏的场景中，就需要首先使用鼠标为这个游戏对象设置出合适的状态。而且开发者还需要多角度的观察游戏场景中的各游戏对象。基于以上的原因， Unity 提供了很多快捷操作，支持开发者对 Scene 视图所做的各种操作，常见的操作方式有： 直接按下键盘上的 Q 、 W 、 E 、 R 键，即可选中 Unity 左上角，工具栏上的 4 个按钮，且按钮与按键一一对应，省去了开发者使用鼠标点击的麻烦。 使用鼠标的滚轮，可以控制 Scene 视图“窗口”与各游戏对象的远近，如图 2-14 所示，且向上滚动靠近，向下滚动远离。 图 2-14 使用鼠标的滚轮，控制 Scene 视图与场景中各游戏对象距离的远近 使用鼠标双击 Hierarchy 视图上的游戏对象名，场景视图会移动，直到对应的对象处于场景视图的中间，如图 2-15 所示。当开发者在场景中找不到对应的游戏对象时，可以使用这种方法快速找到。 图 2-15 鼠标双击对象名，场景视图速度定位到对应对象，且被显示在场景视图的中央 在场景视图里，按下鼠标中间的按钮（或滚轮），鼠标变成了 ，然后移动鼠标，可以任意移动场景 。 ， 如图 2-16 所示 ， 。其

<script type="text/javascript" src="js/jquery.min.js"></script> <script type="text/javascript" src="js/jquery.base64.js"></script> <script type="text/javascript" src="js/jquery.table2excel.js"></script> $("#table2excel").table2excel({ // 不被导出的表格行的CSS class类 exclude: ".noExl", // 导出的Excel文档的名称 name: "Excel Document Name", // Excel文件的名称，不要加后缀 filename: "myExcelTable" }); js下载：http://download.csdn.net/detail/liu4071325/9483580 插件： https://github.com/rainabba/jquery-table2excel https://github.com/kayalshri/tableExport.jquery.plugin PS：当表格数据太多会不能正常下载导出 原理：将数据转化为base64的串，通过data:application/vnd.ms