新思路

JSONP安全防范解决方案新思路

空扰寡人 提交于 2020-03-14 11:46:24
jsonp安全性防范,分为以下几点: 1、 防止callback参数意外截断js代码,特殊字符单引号双引号,换行符均存在风险 2、 防止callback参数恶意添加标签(如script),造成XSS漏洞 3、 防止跨域请求滥用,阻止非法站点恶意调用 针对第三点,我们可以通过来源refer白名单匹配,以及cookieToken机制来限制 而前两点,传统的做法分为以下几种: 1、 纯手工过滤特殊字符,引号尖括号等,一旦发现潜在恶意字符则服务端拒绝,返回错误。此种方式较为严格,但是随之而来的问题是失败率会有所提升,尤其对于对外开发者。而且JS中恶意字符的变形十分多,此方式需要枚举所有非法字符,可能存在疏漏。我们不应该将潜在的恶意字符都一概屏蔽,因为确实有些需求需要传入并存储这些字符。 2、 对于callback参数作严整的格式检查,或强制约定指定格式。基本可以彻底解决安全问题,但同样是对调用端不是完全透明,使用者需要额外去知晓相关限制和约定,可能会造成不必要的沟通成本。 3、 返回包体添加header头部,强制指定MIME类型,避免按HTML方式解析,防止XSS漏洞。这似乎是个很完美的解决方案。但是十分诡异的是,在某些版本的火狐浏览器下,直接访问MIME类型为JAVASCRIPT的请求时,浏览器仍然会按照HTML解析。或许是该浏览器设计的缺陷,但它忽略了我们设置的header

我国经济发展的新思路

寵の児 提交于 2020-03-07 07:55:38
我国经济发展的新思路 一、全面理解发展的全方位内涵 1、狭义的发展是指生产力的发展 (1)生产要素的增长、生产技术的进步、生产效益的提高。(2)社会产品数量增加、质量提高、品种增多。(3)企业规模扩大、产业部门增多,生产布局合理,产业结构优化。(4)国内生产总值增长速度较快财,财政收入较多,人民生活水平较高。(5)社会总供给与社会总需求平衡、国际收支平衡、物价水平适当、劳动者充分就业。(6)保护环境、节约资源、生态平衡。 2、中义的发展还包括生产关系的发展 (1)不仅包括生产建设的扩大,而且包括流通市场的扩大。 (2)不仅包括国有经济增长,而且包括非国有经济增长。 (3)不仅包括按劳分配完善,而且包括按要素分配完善。 (4)不仅包括物质产品生产,而且包括人口劳动力生产。 (5)不仅包括微观经济搞活,而且包括宏观经济调控。 (6)不仅包括建立现代企业制度,而且包括完善市场体系。 (7)不仅包括经济效率,而且包括社会公平。 3、广义的发展除经济发展外还包括上层建筑的发展 (1)不仅包括搞好文化建设,而且包括加强思想建设。 (2)不仅包括建设民主政治,而且包括实行以法治国。 (3)不仅包括精神文明建设,而且包括政治文明建设。 二、我们党对于发展重要意义的认识 1978年党的十一届三中全会后,我们党纠正了过去几十年以阶级斗争为纲的错误路线,确立了以经济建设为中心的政治路线

[转帖]C1000k 新思路:用户态 TCP/IP 协议栈

不羁岁月 提交于 2020-01-09 22:55:27
C1000k 新思路:用户态 TCP/IP 协议栈 https://blog.csdn.net/Solstice/article/details/26363901 C1000k 新思路:用户态 TCP/IP 协议栈 现在的服务器支撑上百万个并发 TCP 连接已经不是新闻(余锋2010年的演讲,ideawu 的 iComet 开源项目,WhatsApp 做到了 2.5M)。实现 C1000k 的常规做法是调整内核参数,提高文件数,降低每个连接的内存消耗(参考 ideawu 的博客)。 在今年的 BSDCan2014 会议上, Patrick Kelsey 介绍了把 FreeBSD 9.x 的 TCP/IP 协议栈移植到了用户态(slides, github.com/pkelsey/libuinet),并用于 WANProxy 项目。在用户态运行 TCP/IP 协议栈意味着并发 TCP 连接不再占用系统文件数,只占内存,解决了 C1000k 的一大瓶颈,内核只要提供一个收发网络 packet 的接口就行(例如netmap)。 内核的网络协议栈强调通用性,主要是为吞吐量优化(性能指标通常是 MB/s 或 packets per second),顺带兼顾大量并发连接。为了支持 C1000k,要调整内核参数让每个连接少占资源,这与内核代码的设计初衷是违背的。 用户态协议栈捅破了这层窗户纸

PDF转换成Word 文档新思路

徘徊边缘 提交于 2019-12-30 01:00:16
最近总是有很多需要阅读的书籍啊,论文啊,乱七八糟的东西,而这种东西一般都是PDF格式的,大部分都是只能看不能摸的东西,作为一名CV工程师,怎么能够顶得住这种东西呢。于是就在网上找啊找啊,找那些免费的,能够使用的,免费PDF转换成WORD的工具。 结果!我找不到。嘻嘻 在郁闷之下,我找到了新思路(假的),那些现成的,WPS,Office之类的,不是需要会员才能转换吗?而他们一次性却需要我们购买一年???没钱啊,于是我就去淘宝买个一天的会员。 然后就 妙啊~ 你们也可以尝试一下,积攒一定数量的,需要转换的PDF,然后去淘宝买一个一天会员。然后就可以大胆放心的使用了。一天会员也就一两块钱。在紧急情况下应急还是挺不错的。 来源: CSDN 作者: wuyxinu 链接: https://blog.csdn.net/wuyxinu/article/details/103746901

谷歌开源 MobileNetV3:新思路 AutoML 改进计算机视觉模型移动端

匆匆过客 提交于 2019-11-26 02:35:26
谷歌从 17 年发布 MobileNets 以来,每隔一年即对该架构进行了调整和优化。现在,开发者们对 MobileNetV3 在一次进行了改进,并将 AutoML 和其他新颖的思想融入到该移动端的深度学习框架中。谷歌发布了相关文章对升级后的 MobileNetV3 进行了讲解,雷锋网 AI 开发者将其整理编译如下。 深度学习融入到移动端的最新创意 将深度学习融合到移动端正成为人工智能领域最活跃的研究领域之一。而设计能够在移动端运行时有效执行的深度学习模型,则需要对神经网络中的许多架构范例进行更进一步的思考。 移动端的深度学习模型需要平衡复杂神经网络结构的精度和移动运行时的性能约束。在移动端深度学习领域中,计算机视觉仍然是最具挑战性的领域之一。 在 2017 年,谷歌推出了基于 TensorFlow 的计算机视觉系列模型 MobileNets。而最新的 MobileNets 架构正是于几天前发布,其中包含了一些改进移动端计算机视觉模型的有趣想法。 MobileNetV3 是该模型结构的第三个版本,它能够为许多主流的移动应用程序提供图像分析的功能。该体系结构还被集成到流行的框架中,例如:TensorFlow Lite。 MobileNet 需要尽可能维持其中发展较快的计算机视觉和深度学习领域与移动环境局限性之间平衡。因此,谷歌一直在定期对 MobileNets 架构进行更新