总结和概括一下常见的Web安全注意点
XSS(Cross Site Script)攻击,是攻击者想Web页面提交恶意脚本,当用户浏览页面的时候就会触发脚本。
document.cookie获取cookie然后发送给某个后台服务器一般的检测方式是检测弹窗,看能否执行alert(1)
<script>alert(1)</script>javascript:alert(1),图片元素会被渲染成<img src="javascript:alert(1)">容器技术就像集装箱,用最精简的封装,保护组件运行,互不冲突,便于服务迁移。
ArchLinux下可以直接用Pacman安装:sudo pacman -S docker
其他Linux平台可以用官方安装脚本:curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun
Windows平台下可参照官方的安装说明:Windows 上的 Docker 引擎
以下的操作基于Linux环境。安装成功后,docker -v显示版本:Docker version 18.09.3-ce, build 774a1f4eee
首次启动前先换源:sudo vim /etc/docker/daemon.json,加入以下内容:{
"registry-mirrors":["https://registry.docker-cn.com"]
}
启动:sudo systemctl start docker
一般来说Java的对象都是在堆上生成,但是如果一个对象只在当前函数内被使用,那么它可以被分配在栈上。栈上的数据在函数返回时被回收,从而大大减轻了GC的压力。
由Java Hotspot分析对象的使用范围是否只在当前函数内有效,然后控制其在堆分配空间的技术就叫逃逸分析(Escape Analysis)。
逃逸分析的相关参数如下:
-XX:+DoEscapeAnalysis-XX:-DoEscapeAnalysis-XX:+PrintEscapeAnalysis接下来就一个具体例子测试逃逸分析是否能优化GC的性能。在IDEA中设置VM Option。
-Xmx10m -Xms10m。-XX:+PrintGC-XX:-DoEscapeAnalysis最终VM Option如下:-Xmx10m -Xms10m -XX:+PrintGC -XX:-DoEscapeAnalysis
1991年发布的HTTP/0.9只是一个草案,纯文本格式。蒂姆.伯纳斯.李 最初设想的系统里的文档都是只读的,所以只允许用”GET”动作从服务器上获取HTML文档,并且在响应请求之后立即关闭连接,功能非常有限。此时的HTTP协议没有请求头和请求体的概念,只能用于只读文档请求。
时隔5年,发布的HTTP/1.0
此时的HTTP协议已经和如今的HTTP协议极为类似了。HTTP/1.0采用了短链接,即每次请求一个资源都需要建立一个TCP请求,完成一整套握手和挥手的过程。如:当有100个图片资源时,就会发起100个TCP请求。频繁的连接建立与断开极大消耗了资源。
RPC(Remote Procedure Call),在Wiki上的解释是:
In distributed computing, a remote procedure call (RPC) is when a computer program causes a procedure (subroutine) to execute in a different address space (commonly on another computer on a shared network), which is coded as if it were a normal (local) procedure call, without the programmer explicitly coding the details for the remote interaction.
RPC可以用于不同服务进程之间的通信(无论是不是在同一台机器上)。使用RPC可以在不用特定编程的基础上,像调用本地模块一样调用远端模块,这可以广泛用于分布式系统不同服务之间的调用。
假设Server1上要调用Server2上的func函数,完成一个基本的a+b运算。Server1需要先将需要把参数1,3序列化,打包成数据包后通过网络发给Server2。Server2拿到数据包后反序列化参数到内存,调用func方法,再把返回结果序列化后返回给Server1。RPC框架参与了数据的序列化和反序列化,数据包的封装与派发,调用目标函数等过程。开发者调用Server1上的func函数时,感觉就好像在调用本地函数一样。