标签: web

我听到很多关于Spring的消息,人们在网上都说Spring是一个很好的Web开发框架.Spring Framework究竟是什么？

我有一个由Eclipse中的Maven集成创建的项目.一切正常,但在所有JSP文件的工作空间中都有这样的:

The superclass "javax.servlet.http.HttpServlet" was not found on the Java Build Path

到第一个字符串所在的位置:

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>

当我创建一个基本的动态Web项目和JSP时 - 一切都很好,没有错误.

我有一个web目录/www和一个名为该目录的文件夹store.

内store有几个文件和文件夹.我想给文件夹store和文件夹中的所有文件和文件store夹所有权限.

我该怎么做呢？我猜是通过.htaccess.

我们的(PHP)框架有时会渲染带有值的隐藏输入YTowOnt9.我无法在(巨大的)代码库中的任何地方找到该字符串,并且无法弄清楚它来自何处.我决定使用Google来获取该特定字符串,结果让我感到惊讶.超过五十万 - 随机 - 点击.我还没有找到任何描述价值本身的页面.它在Stack Overflow上有0次点击.

是YTowOnt9某种神奇的弦？

尝试在本地浏览php文件时出现此错误

[Fri Apr 13 19:16:40 2012] [alert] [client 127.0.0.1] C:/AppServ/www/hr-website/.htaccess: Invalid command 'RewriteEngine', perhaps misspelled or defined by a module not included in the server configuration, referer: http://127.0.0.1/

问题是什么 ？

我很困难,试图为自己找到网站和网络应用程序之间的差异.在我看来,一个网站指向一个特定的页面,一个Web应用程序更像是一种内容和信息的"门户".

但我遇到的问题是,仍然可以通过浏览器查看Web应用程序(不是吗？),网站仍然可以动态查看内容,使网站和应用程序之间的界限非常灰暗.

例如,使用ASP.NET或AJAX等的网站是否成为Web应用程序,因为它可以动态和异步地检索数据,或者使用PHP和CMS的网站更像是Web应用程序,因为它根据请求形成页面根据客户的要求及其数据库中的内容？

或许我在这里完全错了 - 网络应用程序和网站之间的区别是什么？

我试图了解CSRF的整个问题以及预防它的适当方法.(资源我已阅读,理解并同意:OWASP CSRF预防报告表,关于CSRF的问题.)

据我了解,CSRF的漏洞是通过假设(从网络服务器的角度来看)传入HTTP请求中的有效会话cookie反映经过身份验证的用户的意愿而引入的.但是,原始域的所有cookie都被浏览器神奇地附加到请求上,因此实际上所有服务器都可以通过请求中存在的有效会话cookie来推断该请求来自具有经过身份验证的会话的浏览器; 它无法进一步假设该浏览器中运行的代码,或者它是否真正反映了用户的意愿.防止这种情况的方法是在请求中包含其他身份验证信息("CSRF令牌"),这些信息由浏览器的自动cookie处理以外的某些方式携带.然后,松散地说,会话cookie验证用户/浏览器,并且CSRF令牌验证在浏览器中运行的代码.

简而言之,如果您使用会话cookie来验证Web应用程序的用户,您还应该为每个响应添加一个CSRF令牌,并在每个(变异)请求中要求匹配的CSRF令牌.然后,CSRF令牌从服务器到浏览器进行往返回服务器,向服务器证明发出请求的页面是由该服务器批准(甚至由该服务器生成).

关于我的问题,这是关于在该往返中用于该CSRF令牌的特定传输方法.

看起来很常见(例如在AngularJS,Django,Rails中)将CSRF令牌从服务器发送到客户端作为cookie(即在Set-Cookie头中),然后让客户端中的Javascript将其从cookie中删除并附加它作为单独的XSRF-TOKEN标头发送回服务器.

(另一种方法是由例如Express推荐的方法,其中由服务器生成的CSRF令牌通过服务器端模板扩展包含在响应主体中,直接附加到将其提供回服务器的代码/标记,例如作为一个隐藏的表单输入.这个例子是一个更多的Web 1.0-doh的做事方式,但是可以很好地推广给更多JS的客户端.)

为什么使用Set-Cookie作为CSRF令牌的下游传输是如此常见/为什么这是一个好主意？我想所有这些框架的作者都仔细考虑了他们的选择,并没有弄错.但乍一看,使用cookie解决基本上对cookie的设计限制似乎很愚蠢.实际上,如果您使用cookie作为往返传输(Set-Cookie:服务器的下游标头告诉浏览器CSRF令牌,而Cookie:上游标题,浏览器将其返回给服务器)您将重新引入漏洞正试图解决.

我意识到上面的框架不会使用cookie来进行CSRF令牌的整个往返; 他们使用Set-Cookie下游,然后在上游使用其他东西(例如X-CSRF-Token标头),这确实可以关闭漏洞.但即使使用Set-Cookie作为下游传输也可能具有误导性和危险性; 浏览器现在将CSRF令牌附加到每个请求,包括真正的恶意XSRF请求; 充其量只会使请求变得比它需要的更大,而在最坏的情况下,一些善意但误导的服务器代码实际上可能会尝试使用它,这将是非常糟糕的.此外,由于CSRF令牌的实际预期接收者是客户端Javascript,这意味着此cookie不能仅使用http保护.因此,在Set-Cookie标头中向下游发送CSRF令牌对我来说似乎非常不理想.

这个问题是使用TypeScript直接类比检查Class类型

我需要在运行时找出类型为any的变量实现接口.这是我的代码:

interface A{
    member:string;
}

var a:any={member:"foobar"};

if(a instanceof A) alert(a.member);

如果您在typescript playground中输入此代码,则最后一行将被标记为错误,"当前范围中不存在名称A".但事实并非如此,该名称确实存在于当前范围内.我甚至可以在var a:A={member:"foobar"};没有编辑投诉的情况下将变量声明更改为.浏览网页并在SO上找到另一个问题后,我将界面更改为类,但后来我无法使用对象文字来创建实例.

我想知道A类型是如何消失的,但是看看生成的javascript解释了这个问题:

var a = {
    member: "foobar"
};
if(a instanceof A) {
    alert(a.member);
}

A没有表示作为接口,因此不可能进行运行时类型检查.

我知道javascript作为一种动态语言没有接口的概念.有没有办法输入接口检查？

打字稿操场的自动完成显示打字稿甚至提供了一种方法implements.我怎么用呢？

假设URL为:

www.example.com/?val=1#part2

PHP可以val1使用GET数组读取请求变量.

哈希值是否part2也可读？或者这只是浏览器和JavaScript？

我开发了一个主要用于手机的网站.
我想允许用户直接从网页共享信息到WhatsApp.

使用UserAgent检测我可以区分Android和iOS.
我能够发现,为了在iOS中实现上述功能,我可以使用以下URL:

href="whatsapp://send?text=http://www.example.com"

我仍在寻找在操作系统是Android时使用的解决方案(因为上面的方法不起作用).
我想这是某种联系在Android中使用"意图",但我无法弄清楚如何做到这一点作为参数HREF.