xml实体注入xxe

xxe就是xml实体注入,先稍微就说一下XML entity:

使用修饰符来简化代码

常见的使用修饰符的场景是每个函数都有一段相同的逻辑,提取出来作为修饰符,那个比较常见,下面的例子是另外一个比较常见的使用修饰符的场景,可以提高代码可维护性。

To be lazy

平时人们做事的时候谁说lazy也是不好的,但是在程序设计的时候,lazy是一种有效的提供性能的方法,大致的思想就是需要的时候再计算,尽量的缓存计算结果。

富文本安全

昨天阿里安全实习生面试问到了这个,感觉回答的不是很好,最后挂了,今天总结一下。

html和js编码解码导致的xss问题

在js中对特殊字符进行转义我们可以使用下面的函数, function _html_encode(str) { if (!str.length) { return ""; } v...

nginx对自定义http头的处理

有一个app调用后端api的时候,会在http头里面放置AUTH_TOKEN字段,用来用户鉴权,但是后端一直返回用户没有登录,但是本地使用django自带的runserver是可以的。后端的代码是这样的。```pythonclass TokenA...

geohash查找附近的人

微信、默默等查找附近的人最简单的方法就是遍历一遍,然后使用经纬度计算距离。计算公式是http://en.wikipedia.org/wiki/Haversine_formula$$ havarsin(\frac{d}{R}) = haversin...

Hey Jude

Hey Jude, don’t make it bad.

Django的信号和观察者模式

今天想到给以前写的东西增加缓存支持,每次数据库发生变化之后主动的去修改缓存。当然最笨的方法就是在每次更新数据库的代码后面写一段更新缓存的代码,我们能不能在数据库被更新之后对外发一个信号呢,更新缓存的函数收到这个信号就知道数据库发生了变化。

概率论几个有意思的模型

ctf中js加密题总结

1 js混淆加密的

春水初生,春林初盛,春风十里

上周末在东校区

青大空教室查询app发布

昨天上午下课后想找个空教室,转来转去就是找不到。想起来课程格子上面有个空教室查询,但是打开后提示工作人员正在提取数据啥的,反正就是不能用。貌似别人用超级课程表也是这样的,真是奇了怪了。。

开学了

高铁晚点半小时,昨晚到青岛的时候,天已经完全黑了,还下着淅淅沥沥的春雨,来到学校收拾东西,打扫卫生后就睡觉了。

验证码常见安全问题

(1). 验证码在页面或者cookies中输出。这个时候只需要提取一下就能直接使用了。经过加密的也不行,也可以直接去替换密文。