Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
wushizhenking
CS-Notes
提交
93090ab6
C
CS-Notes
项目概览
wushizhenking
/
CS-Notes
与 Fork 源项目一致
从无法访问的项目Fork
通知
2
Star
0
Fork
0
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
C
CS-Notes
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
提交
Issue看板
前往新版Gitcode,体验更适合开发者的 AI 搜索 >>
提交
93090ab6
编写于
9月 04, 2018
作者:
C
CyC2018
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
auto commit
上级
13f44993
变更
3
隐藏空白更改
内联
并排
Showing
3 changed file
with
12 addition
and
37 deletion
+12
-37
notes/分布式.md
notes/分布式.md
+1
-1
notes/攻击技术.md
notes/攻击技术.md
+8
-32
notes/集群.md
notes/集群.md
+3
-4
未找到文件。
notes/分布式.md
浏览文件 @
93090ab6
...
...
@@ -167,7 +167,7 @@ Zookeeper 提供了一种树形结构级的命名空间,/app1/p_1 节点的父
可用性指分布式系统在面对各种异常时可以提供正常服务的能力,可以用系统可用时间占总时间的比值来衡量,4 个 9 的可用性表示系统 99.99% 的时间是可用的。
在可用性条件下,要求系统提供的服务一直处于可用的状态,对于用户的每一个操
,
请求总是能够在有限的时间内返回结果。
在可用性条件下,要求系统提供的服务一直处于可用的状态,对于用户的每一个操
作
请求总是能够在有限的时间内返回结果。
## 分区容忍性
...
...
notes/攻击技术.md
浏览文件 @
93090ab6
...
...
@@ -13,6 +13,8 @@
跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。
## 攻击原理
例如有一个论坛网站,攻击者可以在上面发布以下内容:
```
html
...
...
@@ -43,40 +45,23 @@
例如将
`<`
转义为
`<`
,将
`>`
转义为
`>`
,从而避免 HTML 和 Jascript 代码的运行。
## 富文本编辑器
富文本编辑器允许用户输入 HTML 代码,就不能简单地将
`<`
等字符进行过滤了,极大地提高了 XSS 攻击的可能性。
富文本编辑器通常采用 XSS filter 来防范 XSS 攻击,通过定义一些标签白名单或者黑名单,从而不允许有攻击性的 HTML 代码的输入。
以下例子中,form 和 script 等标签都被转义,而 h 和 p 等标签将会保留。
> [XSS 过滤在线测试](http://jsxss.com/zh/try.html)
```
html
<h1
id=
"title"
>
XSS Demo
</h1>
<p
class=
"text-center"
>
Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist.
</p>
<p>
123
</p>
<form>
<input
type=
"text"
name=
"q"
value=
"test"
>
<button
id=
"submit"
>
Submit
</button>
</form>
<pre>
hello
</pre>
<p>
<a
href=
"http://jsxss.com"
>
http
</a>
</p>
<h3>
Features:
</h3>
<ul>
<li>
Specifies HTML tags and their attributes allowed with whitelist
</li>
<li>
Handle any tags or attributes using custom function
</li>
</ul>
<script
type=
"text/javascript"
>
alert
(
/xss/
);
</script>
...
...
@@ -85,32 +70,21 @@ alert(/xss/);
```
html
<h1>
XSS Demo
</h1>
<p>
Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist.
</p>
<p>
123
</p>
<
form
>
<
input type="text" name="q" value="test"
>
<
button id="submit"
>
Submit
<
/button
>
<
/form
>
<pre>
hello
</pre>
<p>
<a
href=
"http://jsxss.com"
>
http
</a>
</p>
<h3>
Features:
</h3>
<ul>
<li>
Specifies HTML tags and their attributes allowed with whitelist
</li>
<li>
Handle any tags or attributes using custom function
</li>
</ul>
<
script type="text/javascript"
>
alert(/xss/);
<
/script
>
```
> [XSS 过滤在线测试](http://jsxss.com/zh/try.html)
# 二、跨站请求伪造
## 概念
...
...
@@ -119,6 +93,8 @@ alert(/xss/);
XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户浏览器的信任。
## 攻击原理
假如一家银行用以执行转账操作的 URL 地址如下:
```
...
...
notes/集群.md
浏览文件 @
93090ab6
...
...
@@ -18,12 +18,12 @@
负载均衡器可以用来实现高可用以及伸缩性:
-
高可用:当某个节点故障时,负载均衡器会将用户请求转发到另外的节点上,从而保证所有服务持续可用;
-
伸缩性:可以很容易地添加移除节点。
-
伸缩性:
根据系统整体负载情况,
可以很容易地添加移除节点。
负载均衡运行过程包含两个部分:
1.
根据负载均衡算法得到
请求
转发的节点;
2.
将请求
进行转发。
1.
根据负载均衡算法得到转发的节点;
2.
进行转发。
## 负载均衡算法
...
...
@@ -205,4 +205,3 @@ HTTP 重定向负载均衡服务器使用某种负载均衡算法计算得到服
-
[
Session Management using Spring Session with JDBC DataStore
](
https://sivalabs.in/2018/02/session-management-using-spring-session-jdbc-datastore/
)
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录