p3p

什么是CSRF攻击？ 跨站请求伪造(Cross-Site Request Forgery, CSRF)，恶意网站通过脚本向当前用户浏览器打开的其它页面的 URL 发起恶意请求，由于同一浏览器进程下 Cookie 可见性，导致用户身份被盗用，完成恶意网站脚本中指定的操作。 尽管听起来跟XSS跨站脚本攻击有点相似，但事实上CSRF与XSS差别很大，XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。 你可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等，甚至盗取你的账号。 CSRF攻击原理 CSRF的攻击原理如下图所示。 首先用户C浏览并登录了受信任站点A； 登录信息验证通过以后，站点A会在返回给浏览器的信息中带上已登录的cookie，cookie信息会在浏览器端保存一定时间（根据服务端设置而定）； 完成这一步以后，用户在没有登出（清除站点A的cookie）站点A的情况下，访问恶意站点B； 这时恶意站点 B的某个页面向站点A发起请求，而这个请求会带上浏览器端所保存的站点A的cookie； 站点A根据请求所带的cookie，判断此请求为用户C所发送的。 因此，站点A会报据用户C的权限来处理恶意站点B所发起的请求，而这个请求可能以用户C的身份发送 邮件

题目描述 《基础物理实验》是一门精品好课，手残的 JJLeo 需要做 n n 个不同的实验，将其编号为 1 , 2 , ⋯ , n 1,2,⋯,n ，它们的难度严格递增。 现在，智能化的选课网站帮他选择了一个做实验的顺序 [ p 1 , p 2 , ⋯ , p n ] [p1,p2,⋯,pn] ，其中 p i pi 表示第 i i 次做的实验的编号。因为每个实验只需要做一次，且所有实验都必须做，所以 [ p 1 , p 2 , ⋯ , p n ] [p1,p2,⋯,pn] 中 1 1 到 n n 中每个整数都恰好出现了一次。 做实验应该循序渐进，因此 JJLeo 希望他做实验的难度可以严格递增，即满足 [ p 1 , p 2 , ⋯ , p n ] = [ 1 , 2 , ⋯ , n ] [p1,p2,⋯,pn]=[1,2,⋯,n] 。针对这种诉求，人性化的选课网站提供了一种更换实验顺序的方案，每个同学可以进行如下操作任意次： 选择一个正整数 i i 满足 1 < i < n 1<i<n 且 p i − 1 > p i > p i + 1 pi−1>pi>pi+1 ，将 [ p 1 , ⋯ , p i − 1 , p i , p i + 1 , ⋯ , p n ] [p1,⋯,pi−1,pi,pi+1,⋯,pn] 更改为 [ p 1 , ⋯ , p i + 1 , p i , p

No.1 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 No.2 HTTP简介 Hypertext Transfer Protocol，超⽂本传输协议，和 HTML (Hypertext Markup Language 超⽂本标 记语⾔) ⼀起诞⽣，⽤于在⽹络上请求和传输 HTML 内容。 超⽂本，即「扩展型⽂本」，指的是 HTML 中可以有链向别的⽂本的链接（hyperlink）。 No.3 HTTP工作原理 用户输入地址后回车或点击链接 浏览器拼装 HTTP 报文并发送请求给服务器 服务器处理理请求后发送响应报文给浏览器 浏览器解析响应报文并使用渲染引擎显示到界面 No.4 HTTP请求报文 请求报文具体格式： 4.1 请求行信息 Request Method 请求方法 方法 作用 GET 请求获取由 Request-URI 所标识的资源 POST 请求服务器接收在请求中封装的实体，并将其作为由 Request-Line 中的 Request-URI 所标识的资源的一部分 HEAD 请求获取由

Windows10 永久KEY激活码 神KEY 7M73P-C6DW7-XC9W9-2RC3Q-QNPTN——专业 3F64B-K3FC2-XM6Q6-6MR4Q-YVXNF——家庭 684DW-GJD36-44NQP-F7JXF-P8RBV——企业 NX3GK-V9862-4HYXQ-DGC43-2WF8R ——企业——只能电话激活 NX9MP-TY3DJ-VYMW8-WWVRF-9W3F4 ——企业——只能电话激活 966NG-HFP9G-3RWXV-KX24H-9BT44 ——企业——只能电话激活 NKJFK-GPHP7-G8C3J-P6JXR-HQRJR——企业零售版 KYD2F-NKXMK-7G36X-6VRXM-WHV2F——企业零售版 MK7NQ-K23YX-XTWD7-4VPKG-XQBPF ——企业零售版 2RJNJ-743YM-HRCQT-RR2B2-JB48R ——企业零售版 WNT9Y-XRJPM-QWVH6-6K23T-6F4CF ——企业零售 BNBP8-3JT2M-J9WQQ-DD8V7-B7V2F ——企业零售版 B98WJ-FBN6K-KX3JF-C4VXB-F9CJR——企业零售版 专业版Win10 KEY，每个都可以激活20次 N64MC-GT6XY-PWMJ7-6KDJ7-FJRDB PXW3C-WN8WF-R2BPB-FJPJ4-844DB

#台式机硬件说明 cpu i3-4130 内存 4G 硬盘1T #vmware，virtualbox安装 http://bbotte.blog.51cto.com/6205307/1539484 # cat /etc/centos-release CentOS release 6.4 (Final) # uname -a #这里是安装好的kernel，所以不是2.6.32 此内核版本属于长期维护版 Linux localhost.localdomain 3.14.16-1.el6xen.x86_64 #1 SMP Fri Aug 8 16:33:18 EST 2014 x86_64 x86_64 x86_64 GNU/Linux 安装Xen： SELINUX=disabled #关闭selinux yum install bridge-utils yum install -y http://au1.mirror.crc.id.au/repo/kernel-xen-release-6-5.noarch.rpm yum install -y xen rpm -e xorg-x11-drv-ati-firmware-6.99.99-1.el6.noarch #没有卸载的话会因为冲突而提示错误 yum install kernel-xen 安装过程虽然只是上面几步

DHCP三层交换机设置方式 全局模式和接口模式设置方式和命令 reset save 回车 输入y reboot 输入n 输入y 重启后就恢复默认设置了 默认用户名密码 admin Admin@huawei <DHCP>reset save y <DHCP>reboot n y 恢复出厂设置 [DHCP]undo ip pool p4 [DHCP]int vlanif 10 [DHCP-Vlanif10]dhcp select interface //设置dhcp 接口模式 [DHCP-Vlanif10]int vlanif 20 [DHCP-Vlanif20]dhcp select interface [DHCP-Vlanif20]int vlanif 30 [DHCP-Vlanif30]dhcp select interface [DHCP-Vlanif30]int vlanif 40 [DHCP-Vlanif40]dhcp select interface [DHCP-Vlanif40]q [DHCP]dis current-configuration [Huawei]sysname dhcp [dhcp]vlan batch 10 20 30 40 创建vlan Info: This operation may take a few seconds. Please wait

动态语言也称为脚本语言，是介于标签语言（如HTML，XSLT，VML）和静态语言（如C++、C#、Java，也称编译语言）之间的语言。JavaScript、PHP、Perl、Ruby等都是动态语言。动态语言无需编译，它由解释器动态解释执行，一般来说，动态语言拥有比静态语言更大的灵活性和表达能力。动态语言优势在于灵活，易于开发和学习，劣势在于性能较低。在高性能服务器和并行处理的实现方案里，动态语言的优势掩盖自身的不足。一般来说，完成同样逻辑功能的程序，使用Ruby或Python之类的动态语言所需的代码量往往只有使用Java实现版本的1/10，相比C/C++差距更大。近两年来，动态语言似乎有山雨欲来风满楼的气势。在各大开发技术网站，有大量介绍动态语言的文章，在各大论坛里，人们针对动态语言的学习、交流、论战、预测的帖子不断成为抢眼热帖，搅动着开发者的神经。动态语言最突出的特性是语法简洁灵活，易于学习，拥有大量高级程序库，无须从底层开始搭建程序，降低了应用实现的难度。一个C++程序员，往往经过了几年的训练仍然不能开发出可用的程序，但动态语言的程序员经过几个月的训练就已经可以编写出可复用性的代码了。此外，动态语言的代码往往以开源的形式发布，容易被使用和学习。程序库往往决定了一种语言应用难度，纵观历史，凡是具有优秀程序库的语言生命力都很顽强，反之则容易销声匿迹。目前几种流行的动态语言

一：SSO体系结构 SSO ​ SSO英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 体系结构 ​ 当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－token；用户再访问别的应用的时候就会将这个token带上，作为自己认证的凭据，应用系统接受到请求之后会把token送到认证系统进行校验，检查token的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了 。 Token（令牌） token的意思是“令牌”，是服务端生成的一串字符串，作为客户端进行请求的一个标识。 当用户第一次登录后，服务器生成一个token并将此token返回给客户端，客户端收到token后把它存储起来，可以放在cookie或者Local Storage（本地存储）里。 以后客户端只需带上这个token前来请求数据即可，无需再次带上用户名和密码。 简单token的组成；uid(用户唯一的身份标识)、time(当前时间的时间戳)、sign（签名

数组不是基本类型，不能直接参与比较，数组与字符串及字符指针与字符串比较其实比较的是二者的地址。 例： int isequiv ( char *t) { if (t == "char" ) return 1 ; else return 0 ; } int main () { char test[] = "char" ; char *temp = "char" ; printf ( "%d" , isequiv(test)); //输出 0 printf ( "%d" , isequiv(temp)); //输出 1 return 0 ; } 那么为甚么test与temp同字符串“char”比较时结果会不一样呢？ 其实t=="char"比较的是地址! 首先，当你这么引用一个字符串的时候 "char"，它表示存储在程序的常量区的一串字符串，它返回的就是这个常量区的字符串地址比如假设这个地址是 0x004038b0 "char"，那么当你使用 char *temp = "char";的时候，temp就得到了这个常量字符串的地址，也就是temp等于 0x004038b0 或许你可以试试 char * p1 = "char" ; char * p2 = "char" ; char * p3 = "char" ; char * p4 = "char" ; 这里的 p1 p2 p3 p4

CSRF（Cross Site Request Forgery）跨站点请求伪造：攻击者诱使用户在访问 A 站点的时候点击一个掩盖了目的的链接，该链接能够在 B 站点执行某个操作，从而在用户不知情的情况下完成了一次对 B 站点的修改。 CSRF 实现 Cookie 策略 Cookie 分为 Session Cookie（临时 Cookie） 和 Third-party Cookie（本地 Cookie）。本地 Cookie 有失效时间，在失效时间内都可以使用。临时 Cookie 则在浏览器关闭后立即失效。CSRF 攻击过程中，用户浏览器将上传 Cookie 作为认证信息（无需认证的除外）。如果用户同时正在访问 B 站点，那么就有活跃的临时 Cookie 将被上传。然而，如果用户并未打开 B 站点，但存有未失效的本地 Cookie，根据流量器安全策略的不同（IE 默认禁止在<img>、<iframe>、<script>、<link>等标签中发送本地 Cookie，Firefox 默认允许发送本地 Cookie；默认会拦截本地 Cookie 的浏览器：IE 6/7/8，Safari；默认不拦截本地 Cookie 的浏览器：Firefox 2/3，Opera，Google Chrome，Android），本地 Cookie 可能被上传认证，导致攻击成功。【安全建议：及时清除浏览器数据