柚子树

读书笔记

java相关(4) 操作系统(5) 计算机网络(1)

/ 注册

全部文章 / 读书笔记（共34篇）

《白帽子讲Web安全（纪念版）》第七章注入攻击

注入攻击的本质，是把用户输入的数据当做代码执行。这里有两个关键条件，第一个是用户能够控制输入；第二个是原本程序要执行的代码，拼接了用户输入的数据。 SQL注入在SQL注入的过程中，如果网站的Web服务器开启了错误回显，则会为攻击者提供极大的便利，比如攻击者在参数中输入一个单引号“ ‘ ”，引起执...

2020-11-22

0 576

《白帽子讲Web安全（纪念版）》第六章 HTML5安全

HTML5新标签新标签的XSS 一些XSS Filter如果建立了一个黑名单的话，则可能就不会覆盖到HTML5新增的标签和功能，从而避免发生XSS。 iframe的sandbox 在HTML5中，专门为iframe定义了一个新的属性，叫sandbox。使用sandbox这一个属性后，<ifr...

2020-11-13

0 562

《白帽子讲Web安全（纪念版）》第五章点击劫持（ClickJacking）

什么是点击劫持点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页进行操作，此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。点击劫持攻击与...

2020-11-06

0 0

《白帽子讲Web安全（纪念版）》第四章跨站点请求伪造（CSRF）

CSRF的全名是Cross Site Request Forgery，它是一种常见的Web攻击，但很多开发者对它很陌生。CSRF也是Web安全中最容易被忽略的一种攻击方式，甚至很多安全工程师都不太理解它的利用条件和危害，因此不予重视。但CSRF在某些时候却能够产生强大的破坏性。 CSRF简介一个...

2020-10-25

0 0

《白帽子讲Web安全（纪念版）》第三章跨站脚本攻击（XSS的防御）

HttpOnly 浏览器禁止页面的JavaScript访问带有HttpOnly属性的Cookie。严格地说，HttpOnly并非为了对抗XSS——HttpOnly解决的是XSS后的Cookie劫持攻击。输入检查常见的Web漏洞如XSS、SQL Injection等，都要求攻击者构造一些特殊字符，...

2020-10-18

0 514

《白帽子讲Web安全（纪念版）》第三章跨站脚本攻击（XSS攻击）

XSS简介跨站脚本攻击（XSS）是客户端脚本安全中的头号大敌。跨站脚本攻击，英文全称是Cross Site Script，本来缩写是CSS，但是为了和层叠样式表（Cascading Style Sheet, CSS）有所区别，所以在安全领域叫做“XSS”。 XSS攻击，通常指黑客通过“HTML...

2020-10-15

0 471

《白帽子讲Web安全（纪念版）》第一章我的安全世界观

安全的本质安全的本质是信任的问题。一切的安全方案设计的基础，都是建立在信任关系上的。我们必须相信一些东西，必须有一些最基本的假设，安全方案才能得以建立；如果我们否定一切，安全方案就会如无源之水，无根之木，无法设计，也无法完成。从另一个角度来说，一旦我们作为决策依据的条件被打破、被绕过，那么就会导致...

2020-09-30

1 0

《深入理解Java虚拟机（第2版）》第十一章晚期（运行期）优化（编译优化技术）

Java程序员有一个共识，以编译方式执行本地代码比解释方式更快，之所以有这样的共识，除去虚拟机解释执行字节码时额外消耗时间的原因外，还有一个很重要的原因就是虚拟机设计团队几乎把对代码的所有优化措施都集中在了即时编译器之中（在JDK 1.3之后，Javac就去除了-O选项，不会生成任何字节码级别的优化...

2020-08-02

0 689

《深入理解Java虚拟机（第2版）》第十一章晚期（运行期）优化（HotSpot虚拟机内的即时编译器）

在部分的商用虚拟机（Sun HotSpot、IBM J9）中，Java程序最初是通过解释器（Interpreter）进行解释执行的，当虚拟机发现某个方法或代码块的运行特别频繁时，就会把这些代码认定为“热点代码”（Hot Spot Code）。为了提高热点代码的执行效率，在运行时，虚拟机将会把这些代码...

2020-07-25

0 0

《深入理解Java虚拟机（第2版）》第十章（Java语法糖的味道）

Java中的语法糖包括：泛型、自动装箱、自动拆箱、遍历循环、变长参数、条件编译、内部类、枚举类、断言语句、对枚举和字符串（在JDK 1.7中支持）的switch支持、try语句中定义和关闭资源（在JDK 1.7中支持）等。泛型与类型擦除泛型的本质是参数化类型（Parametersized ...

2020-07-18

0 0