url

问题分析及解决方案 问题原因: Mybatis没有找到合适的加载类,其实是大部分 spring - datasource - url 没有加载成功,分析原因如下所示. DataSourceAutoConfiguration 会自动加载. 没有配置 spring - datasource - url 属性. spring - datasource - url 配置的地址格式有问题. 配置 spring - datasource - url 的文件没有加载. 方案一 (解决原因1) 排除此类的autoconfig。启动以后就可以正常运行。 @SpringBootApplication(exclude= {DataSourceAutoConfiguration.class}) 方案二 (解决原因2) 在application.properties/或者application.yml文件中没有添加数据库配置信息. spring: datasource: url: jdbc:mysql://localhost:3306/read_data?useUnicode=true&characterEncoding=UTF-8&useSSL=false username: root password: 123456 driver-class-name: com.mysql.jdbc.Driver

目录 1. 通过 URL Rewrite Module 组件 2. 通过 nginx 图片防盗链 3.自定义 HttpHandler 处理 4. 通过 MVC 自定义路由规则防盗链 5. 通过 MVC 自定义 RouteHandler 防盗链 6. 通过 HttpModModule 防盗链 7 . 涉及知识点，相关资源 自己网站上的图片被别的网站盗用是一件很令人厌恶的事情，下面是处理图片盗链的几种方法。 在这里先交代一下环境，我用的是 MVC4 ,IIS7 应用程序池为集成模式，以下配置都是基于此环境进行。 1. 通过 URL Rewrite Module 组件 这是一个比较简单，方便的方法。首先要去 Url Rewite 官网 下载 URL Rewrite Module 2.0 并安装。安装完成后可以看到 IIS设置里多了 URL重写 的模块如下图： 在这里，可以对URL访问规则进行设置， 双击 URL 重写，添加入站规则 在条件(c) 里面添加 {HTTP_REFERER} 模式为： ^http://localhost/.*$， 意思是 请求 HTTP_REFERER 必须包含 http://localhost/ 字符，规则当然是根据自己的情况写。 添加保存后，站点的 web.config 文件的 system.webServer 节点下就多了 rewrite 节点，配置如下。

什么是盗链 “盗链”的定义是：此内容不在自己服务器上，而通过技术手段，绕过别人放广告有利益的最终页，直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址（比如一些音乐、图片、软件的下载地址）然后放置在自己的网站中，通过这种方法盗取大网站的空间和流量。 为什么会产生盗链 一般浏览有一个重要的现象就是一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面，那么最先的一个Http请求被传送回来的是这个页面的文本，然后通过客户端的浏览器对这段文本的解释执行，发现其中还有图片，那么客户端的浏览器会再发送一条Http请求，当这个请求被处理后那么这个图片文件会被传送到客户端，然后浏览器回将图片安放到页面的正确位置，就这样一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。基于这样的机制，就会产生一个问题，那就是盗链问题：就是一个网站中如果没有起页面中所说的信息，例如图片信息，那么它完全可以将这个图片的连接到别的网站。这样没有任何资源的网站利用了别的网站的资源来展示给浏览者，提高了自己的访问量，而大部分浏览者又不会很容易地发现，这样显然，对于那个被利用了资源的网站是不公平的。一些不良网站为了不增加成本而扩充自己站点内容，经常盗用其他网站的链接。一方面损害了原网站的合法利益

​今天我们继续上次的接着分析，上次说了我们把eval动态运行的拿出来放到主页面方便调试，但是我们看到他这一段都是混淆过的 递归方式+混淆+简单扁平化 首先市面上有混淆工具可以达到这个效果，我自己也基于ast写了一个混淆工具，扯远了，我们来看下他这个都是数组方式读取字符串，在源码搜索的时候 我们发现了他初始化的位置， 因为他是动态解析的这个数组，我们只需要拿到他数组的成员放进去就行了， 其实我看到这里是很疑惑的，这个字符串竟然没有加密码，赤裸裸啊。 然后我们把字符串数组手动赋值之后我们拷贝这一段js到我写的混淆还原工具来看看 没压力，瞬间还原，工具自动计算作用域替换的。然后我们粘贴到notepad看看 这么看的话基本上他的所有东西都出来了，万事俱备，就差调试， 我们把这还原出来的js 替换上去，怎么替换呢，就是把昨天分析的 ret = eval （伪代码 把这个直接拷贝上去就行了，这样也方便调试。刷新之后debugger我们忘了处理，直接跳过算了，然后我们看到了这个 然后本着测试的精神，我又刷新了七八遍，发现一个问题 这个页面我是和js一起保存的并没有从服务器拉取最新的然是依旧可以正常使用，因为他有两处，我们尝试下这个 这段如果固定了js直接报错，不固定正常加密，这就头大了，因为这是一段加密后的字符串我们不管他是什么反正一会都要解密我们先不管。

GET方法 　　GET是获取的意思，顾名思义就是获取信息。 　　GET是默认的HTTP请求方法。 　　GET方法把参数通过key/value形式存放在URL里面，如果参数是英文数字原样显示，如果是中文或者其他字符加密（Base64）URL长度一般有限制所以GET方法的参数长度不能太长。由于参数显示再地址栏所以不安全，一般需要保密的请求不使用GET。 POST方法 　　POST是邮件的意思，顾名思义就像一封信一样将参数放在信封里面传输。它用于修改服务器上的数据，一般这些数据是应该保密的，就像信件一样，信的内容只能收信的人看见。例入当用户输入账号和密码登录时账号和密码作为参数通过HTTP请求传输到服务器，这时候肯定不能用GET方法将账号密码直接显示再URL上，这时候就应该用POST方法保证数据的保密性。 POST和GET的区别 GET提交的数据放在URL中，POST则不会。这是最显而易见的差别。这点意味着GET更不安全（ POST也不安全，因为HTTP是明文传输抓包就能获取数据内容，要想安全还得加密 ） GET回退浏览器无害，POST会再次提交请求（GET方法回退后浏览器再缓存中拿结果，POST每次都会创建新资源） GET提交的数据大小有限制（ 是因为浏览器对URL的长度有限制，GET本身没有限制 ），POST没有 GET可以被保存为书签，POST不可以。这一点也能感受到。

qcms是一款比较小众的cms，最近更新应该是17年，代码框架都比较简单，但问题不少倒是。。。 网站介绍 QCMS是一款小型的网站管理系统。拥有多种结构类型，包括：ASP+ACCESS、ASP+SQL、PHP+MYSQL 采用国际标准编码(UTF-8)和中文标准编码(GB2312) 功能齐全，包括文章管理,产品展示,销售,下载,网上社区,博客,自助表单,在线留言,网上投票,在线招聘,网上广告等多种插件功能 程序和网页代码分离 支持生成Google、Baidu的网站地图 建站 说实话，官网写的是4.0.，安装确实3.0，然后下面写的是2.0，确实让人摸不清头脑 手动创建数据库即可，需要注意数据库要用MySQL5.0版本，向上会报错 数据库:qcms 后台账号密码: admin admin 漏洞复现 XSS 留言处是XSS重灾区，首当其冲就有一个 按照如图所示构造payload 提交之后无需审核，直接先弹个窗。。 登录后台再弹一个。。 查看数据库，没有过滤直接插入 SQLlike注入 在后台下载管理处 构造payload http://127.0.0.1/backend/down.html?title=1';select if(ascii(substr((select database()), 1, 1))-113, 1, sleep(5));%23 这里直接附上简单脚本 # !

初始化网络请求 BaseOptions option = BaseOptions(); //初始化cotentType option.contentType = ContentType.parse("application/json;charset=UTF-8"); //设置请求头参数 option.headers = {'token':'ab2343sdfsdfsfsdf1213123'}; //创建Dio Dio dio = Dio(option); 发起get或者post请求 get /*get请求*/ static Future<AjaxResult> get(String url, {Map params}) async { if (params != null && params.isNotEmpty) { // 如果参数不为空，则将参数拼接到URL后面 StringBuffer sb = StringBuffer("?"); params.forEach((key, value) { sb.write("$key" + "=" + "$value" + "&"); }); String paramStr = sb.toString(); paramStr = paramStr.substring(0, paramStr.length - 1); url +=

<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>Title</title> <meta name="renderer" content="webkit"> <meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"> <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1"> <style> * { box-sizing: border-box; -moz-box-sizing: border-box; -webkit-box-sizing: border-box; } body, html { position: relative; width: 100%; height: 100vh; margin: 0; padding: 0; font: 12px/1.5 Tahoma, Verdana, Geneva, Arial, Helvetica, sans-serif; } input[type='text'] { width: 100%; height: 24px; /*-webkit-box-shadow: 0

main.js 全局配置 import Vue from 'vue' import App from './App' import router from './router' import axios from 'axios';//全局配置axios 使用ajax axios.defaults.baseURL = 'http://localhost:8082';//配置全局请求路径 //axios.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded'; Vue.prototype.$http = axios; //将axios挂载在vue Vue.config.productionTip = false /* eslint-disable no-new */ new Vue({ el: '#app', router, components: { App }, template: '<App/>' }) index.js 路由 相当于Controller import Vue from 'vue' import Router from 'vue-router' import HelloWorld from '@/components/HelloWorld' import Login