那些遇到过的问题

小编use*_*418的帖子

App Store收据验证:如何检查整个付费应用是否已退款(不是应用内购买)?

假设一位客户在Mac App Store中购买了我的付费应用,然后向Apple询问并获得了退款.Apple是否会以某种方式使收据无效以使应用程序无法再使用?如果是这样,收据中是否有某种标志表明它已退款,我应该在收据验证期间进行测试?

我发现了cancellation_date字段(Apple技术说明),但它似乎只适用于订阅或应用内购买.如何退还整个付费应用程序,是否可以检查?

似乎答案过去是"不,Apple不会使退款的Mac应用程序收据失效,用户可以继续使用该应用程序",我想知道最近是否有所改变.

谢谢!

macos objective-c app-store mac-app-store receipt-validation

use*_*418
2019 11-07
8
推荐指数
0
解决办法
511
查看次数

通过GET请求防止CSRF攻击?

我在我的网络服务器上建立了一个无状态的,基于JWT的用户认证系统,遵循Stormpath的例子(https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-网络存储).

该设置似乎对CSRF非常安全,但我想知道GET请求是什么.

我能够通过<img>在来自不同域的页面上包含标记来模拟对GET请求的CSRF攻击.服务器以200状态的整页响应请求.虽然我没有更改GET请求的任何数据,但页面可能仍然包含一些敏感信息,例如, <img src="https://example.com/account" />可能会给出用户的详细信息,或者<img src="https://example.com/logout" />可能只是做一些烦人的事情,我想可以有更多的例子.

这种<img>攻击被认为是无害的,因为浏览器不会透露它获得的回复吗?是否有任何其他滥用HTML标签的技巧,可能会通过向GET请求显示服务器输出来泄露敏感信息?

我想在JET URL中另外包含我的JWT访问令牌的哈希,并让服务器要求GET请求包含该哈希,并且它必须与cookie中的JWT令牌匹配.通过这种方式,攻击者将无法猜测有效的GET URL,同时泄漏此类GET URL也不允许攻击者访问我的服务器,因为他不知道来自cookie的原始JWT.除了轻微的可用性问题,这个设置看起来对我来说是一个好主意,但我没有用Google搜索任何类似的东西,所以我很怀疑:)

html security authentication http csrf

use*_*418
lucky-day
7
推荐指数
1
解决办法
3226
查看次数

INSERT ON DUPLICATE KEY UPDATE 的线程安全性

MySQL语句:

INSERT ... ON DUPLICATE KEY UPDATE ...

看起来像一个应该是线程安全的单个语句(从某种意义上说,在其执行期间不会发生对同一数据的并发查询)。但另一方面,它可以在内部分解为insertandupdate语句,我想知道它是否仍然保证线程安全?

我的意思是,例如,deleteinsertupdate来自并发线程之间是否可能存在会导致update失败的情况?

我认为insert on duplicate key update应该是线程安全的,但文档似乎没有以明文形式说明。有人可以提供有关该主题的证明链接吗?内部是如何实施的?

mysql concurrency

use*_*418
lucky-day
6
推荐指数
1
解决办法
6083
查看次数

sql.Result.LastInsertId() 的线程安全

SQL 文档说它LAST_INSERT_ID()在“每个连接”的基础上工作,也就是说,最后一个插入 ID 值不会被INSERT通过其他连接执行的语句覆盖。

\n\n

AFAIU,在 Go 中(例如与 PHP 不同),我们不会在每个客户端请求上创建单独的数据库连接。相反,我们被告知只创建一个sql.DB对象实例,该实例在后台管理 SQL 连接池。因此,他们说,不能保证 Go 程序中的两个连续 SQL 语句(即使在同一线程中)将通过同一个数据库连接执行。因此,相反的情况可能是 \xe2\x80\x93 两个不同的线程可以在同一(重用)数据库连接上执行两个不同的 SQL 语句。

\n\n

问题是:内部的这种自动连接管理会sql.DB影响线程安全吗sql.Result.LastInsertId()

\n\n

考虑以下情况:INSERT在一个线程中的语句之后,该sql.DB对象在另一个线程中重用该连接,并且另一个线程INSERT在同一(重用)连接上执行另一条语句。之后,第一个线程查询sql.Result.LastInsertId().

\n\n

这会返回第二个INSERT或第一个的行 ID 吗INSERT?最后一个插入 ID 是否在语句执行时缓存,或者是否导致将单独的语句发送到数据库连接?

\n

mysql sql multithreading go

use*_*418
2017 08-05
3
推荐指数
1
解决办法
652
查看次数

const_cast 的善意案例?

我读过很多关于 C++ 中的 const_cast 被认为是错误和危险的讨论,除了与 C 代码的向后兼容外,不应将其用于任何其他用途。我大体上同意。

但是最近我遇到了以下用例,这让我感到疑惑。

我有一些由控制器拥有的模型对象,通常是非常量的。我将它传递给不应能够修改模型对象的视图,因此在传递给视图时将对象声明为 const 参数是合乎逻辑的。然而,视图也使委托回调到控制器,将模型对象作为参数传递(例如,用户单击此对象)。回调参数也必须是常量。在回调方法中,控制器想要对模型进行更改,但是模型是const,所以它做不到。

两种解决方案:

  1. 在控制器的回调方法中使用 const_cast,因为它知道模型对象是非常量的 - 但它有异味。
  2. 在传递给视图时不要将模型声明为 const 参数 - 但是我不能使用像 const 声明这样有用的工具,这在这种情况下似乎非常相关。

想法?

c++ const-cast

use*_*418
lucky-day
1
推荐指数
1
解决办法
98
查看次数

标签 统计

mysql ×2

app-store ×1

authentication ×1

c++ ×1

concurrency ×1

const-cast ×1

csrf ×1

go ×1

html ×1

http ×1

mac-app-store ×1

macos ×1

multithreading ×1

objective-c ×1

receipt-validation ×1

security ×1

sql ×1