在redis.conf中,正常设置是
绑定127.0.0.1
我想redis也听另一个ip(比如我的本地开发地址)
我试过了
绑定127.0.0.1,123.33.xx.xx
但这不起作用.我在文档中找不到任何相关内容或通过谷歌搜索.希望有人能提供帮助.
What is the best way to wait for multiple asynchronous callback functions to finish in Java before continuing. Specifically I'm using GWT with AsyncCallback, but I think this is a generic problem. Here's what I have now, but surely there is cleaner way...
AjaxLoader.loadApi("books", "0", new Runnable(){
public void run() {
bookAPIAvailable = true;
ready();
}}, null);
AjaxLoader.loadApi("search", "1", new Runnable(){
public void run() {
searchAPIAvailable = true;
ready();
}}, null);
loginService.login(GWT.getHostPageBaseURL(), new AsyncCallback<LoginInfo>() {
public void onSuccess(LoginInfo result) { …我正在尝试从CSRF保护应用程序(php和许多JS).
我想用令牌.
很多操作都是用AJAX完成的,所以我必须在Javascript中传递令牌.如果我想为每个会话或每页加载生成1个令牌,那么它很简单 - 我生成新令牌,将其放在DOM中的某个位置,然后使用Javascript找到它并发送到处理端.
但是,如果我想为每个操作使用新令牌呢?我正在考虑做一个ajax调用来重新生成令牌,然后将结果传递给处理页面.
这会增加安全风险吗?我正在考虑引诱用户使用脚本来寻求令牌,然后使用它来发出请求,然后再次跨域Javascript被禁止.它可以用闪光灯完成吗?
也许另一种保护来自CSRF的ajax调用的方法?
谢谢!
是否可以构建可以在仅使用Javascript的浏览器中运行的SMTP/IMAP客户端?
我有一个api,它使用OAuth 1.0a来验证使用它的应用程序.它正在取代一个旧的api,它使用了一些被弃用的定制和hodge-podge调用.
众所周知,OAuth 1.0a在(客户端)Javascript中并不安全,因为它依赖于保密的消费者秘密.这是不可能的,因为源始终是可见的.
我们为Chrome,Firefox,IE和Safari提供了浏览器扩展,将来需要使用此API.这些扩展都是大部分或完全用Javascript编写的,因此也存在安全性问题.
这些扩展是内部的,因此可以使用自定义身份验证方法来获取其访问令牌.
我计划实施的内容如下:
它在以下假设下运作:
我的问题是,这是一种限制访问api的安全方法吗?还有更好的吗?
几个笔记. 我知道有一个事实,Chrome扩展可以请求访问您的给定网站的cookie的权限.我相信firefox扩展也可以这样做.
显然,我们不希望我们的cookie可以通过任何页面上的javascript访问,否则我们会暴露自己的XSS攻击,因此它们只需要通过扩展来访问.
我正在阅读这篇文章,其中提到在redis中存储数十亿个密钥将使用17GB的内存.然而,当切换到哈希时,每个1k分块(例如:)HSET "mediabucket:1155" "1155315" "939"允许它们以5GB存储1M,这是相当大的节省.
我读了redis内存优化,但我不太了解它的区别.它说HGET不是很好O(1)但足够接近,并且在使用hsets时会提到更多的CPU使用率.我不明白为什么会有更多的CPU使用(确定空间的交易时间.但是如何/什么?).它提到了"编码",但没有提到它们是如何编码的.
它也只提到字符串,但我不知道只有字符串意味着什么.它是哈希字段吗?这是否意味着哈希字段?我在HSET中没有看到任何相关内容.究竟会编码什么,为什么编码比使用SET更有效?
怎么可能HSET "mediabucket:1155" "1155315" "939"更有效SET "mediabucket:1155315" "939"呢?SET中的数据较少(使用1155315和1155而不是1155315).我个人会尝试使用二进制密钥,但我不认为这与HSET为什么效率更高有关.
编辑:
Cross也发布在redis-db邮件列表上:https://groups.google.com/d/topic/redis-db/90K3UqciAx0/discussion
我注意到在某些网站(包括SO)上,CSS的链接如下所示:
<link rel="stylesheet" href="http://sstatic.net/so/all.css?v=6638">
我会说可以安全地假设它?v=6638告诉浏览器加载css文件的6638版本.但是我可以在我的网站上执行此操作吗?我可以通过更改数字来包含不同版本的CSS文件吗?
我刚刚收听了http://www.zend.com/webinar/PHP/70170000000bAuS-webinar-php-performance-principles-and-tools-20100218.flv(关于PHP性能的Zend网络研讨会).
我无法理解这句话的意思是"尽量让你的建筑更加横向而不是垂直"(见截图)
替代文字http://img2.pict.com/4e/4d/18/3358007/0/screenshot2b153.png
谢谢.
更新:GWT 2.3引入了更好的机制来对抗XSRF攻击.请参阅http://code.google.com/webtoolkit/doc/latest/DevGuideSecurityRpcXsrf.html
GWT的RPC机制在每个HTTP请求上执行以下操作 -
HTTP请求始终是POST,在服务器端GET方法抛出异常(不支持方法).
此外,如果未设置这些标头或具有错误的值,则服务器会因"可能是CSRF?"而异常处理.或者那种效果.
问题是:这是否足以阻止CSRF?有没有办法在纯交叉站点请求伪造方法中设置自定义标头和更改内容类型?
假设我有一个图像上传程序脚本,我想通过仅将其显示为纯文本来阻止上传目录执行Php甚至html,我在许多网站上看到了这个技巧,但我不知道他们是如何做到的.
简而言之,如果我上传evil.php到该目录,并且我尝试访问它,我将只看到纯文本源,没有执行html或php.(但我仍然希望图像正常出现)
我知道我可以这样做,header("content-type:text/plain");但这对我没有帮助,因为我想要的是,content-type:text/plain服务器自动设置从上传目录输出的每一件事,除了图像.
注意:我正在运行php 5.3.2/Cent OS和最新的cPanel.
谢谢
