http://www.caifuzhu.com.cn/ zh-cn PBlog2 v2.4 http://www.caifuzhu.com.cn/images/logos.gif http://www.caifuzhu.com.cn/ 财富猪java站 http://www.caifuzhu.com.cn/default.asp?id=110 zhouhaizhe@126.com(admin) Mon,22 Mar 2010 15:52:28 +0800 http://www.caifuzhu.com.cn/default.asp?id=110 　　在Java Web应用程中，特别是网站开发中，我们有时候需要为应用程序增加一个入侵检测程序来防止恶意刷新的功能，防止非法用户不断的往Web应用中重复发送数据。当然，入侵检测可以用很多方法实现，包括软件、硬件防火墙，入侵检测的策略也很多。在这里我们主要介绍的是Java Web应用程序中通过软件的方式实现简单的入侵检测及防御。

　　该方法的实现原理很简单，就是用户访问Web系统时记录每个用户的信息，然后进行对照，并根据设定的策略（比如：1秒钟刷新页面10次）判断用户是否属于恶意刷新。

　　我们的入侵检测程序应该放到所有Java Web程序的执行前，也即若发现用户是恶意刷新就不再继续执行Java Web中的其它部分内容，否则就会失去了意义。这就需要以插件的方式把入侵检测的程序置入Java Web应用中，使得每次用户访问Java Web，都先要到这个入侵检测程序中报一次到，符合规则才能放行。

　　Java Web应用大致分为两种，一种纯JSP(+Java Bean)方式，一种是基于框架（如Struts、EasyJWeb等）的。第一种方式的Java Web可以通过Java Servlet中的Filter接口实现，也即实现一个Filter接口，在其doFilter方法中插入入侵检测程序，然后再web.xml中作简单的配置即可。在基于框架的Web应用中，由于所有应用都有一个入口，因此可以把入侵检测的程序直接插入框架入口引擎中，使框架本身支持入侵检测功能。当然,也可以通过实现Filter接口来实现。

　　在EasyJWeb框架中，已经置入了简单入侵检测的程序，因此，这里我们以EasyJWeb框架为例,介绍具体的实现方法及源码，完整的代码可以在EasyJWeb源码中找到。

　　在基于EasyJWeb的Java Web应用中，默认情况下你只要连续刷新页面次数过多，即会弹出如下的错误：

　　EasyJWeb框架友情提示!:-):

　　您对页面的刷新太快,请等待60秒后再刷新页面!

　　二、用户访问信息记录UserConnect.java类

　　这个类是一个简单的Java Bean，主要代表用户的信息，包括用户名、IP、第一次访问时间、最后登录时间、登录次数、用户状态等。全部

　　代码如下：

　　package com.easyjf.web;

　　import java.util.Date;

　　/**

　　*

　　*

　　Title:用户验证信息

　　*

　　Description:记录用户登录信息,判断用户登录情况

　　*

　　Copyright: Copyright (c) 2006

　　*

　　Company: http://www.easyjf.com/

　　* @author 蔡世友

　　* @version 1.0

　　*/

　　public class UserConnect {

　　private String userName;

　　private String ip;

　　private Date firstFailureTime;

　　private Date lastLoginTime;

　　private int failureTimes;//用户登录失败次数

　　private int status=0;//用户状态0表示正常,-1表示锁定

　　public int getFailureTimes() {

　　return failureTimes;

　　}

　　public void setFailureTimes(int failureTimes) {

　　this.failureTimes = failureTimes;

　　}

　　public Date getFirstFailureTime() {

　　return firstFailureTime;

　　}

　　public void setFirstFailureTime(Date firstFailureTime) {

　　this.firstFailureTime = firstFailureTime;

　　}

　　public String getIp() {

　　return ip;

　　}

　　public void setIp(String ip) {

　　this.ip = ip;

　　}

　　public Date getLastLoginTime() {

　　return lastLoginTime;

　　}

　　public void setLastLoginTime(Date lastLoginTime) {

　　this.lastLoginTime = lastLoginTime;

　　}

　　public String getUserName() {

　　return userName;

　　}



public void setUserName(String userName) {

　　this.userName = userName;

　　}

　　public int getStatus() {

　　return status;

　　}

　　public void setStatus(int status) {

　　this.status = status;

　　}

　　}

　　三、监控线程UserConnectManage.java类

　　这是入侵检测的核心部分，主要实现具体的入侵检测、记录、判断用户信息、在线用户的刷新等功能，并提供其它应用程序使用本组件的调用接口。

　　package com.easyjf.web;

　　import java.util.Date;

　　import java.util.HashMap;

　　import java.util.HashSet;

　　import java.util.Iterator;

　　import java.util.Map;

　　import java.util.Set;

　　import org.apache.log4j.Logger;

　　/**

　　*

　　*

　　Title:用户入侵检测信息

　　*

　　Description:用于判断用户刷新情况检查，默认为10秒钟之内连续连接10次为超时

　　*

　　Copyright: Copyright (c) 2006

　　*

　　Company: www.easyjf.com

　　* @author 蔡世友

　　* @version 1.0

　　*/

　　public class UserConnectManage {

　　private static final Logger logger = (Logger) Logger.getLogger(UserConnectManage.class.getName());

　　private static int maxFailureTimes=10;//最大登录失败次数

　　private static long maxFailureInterval=10000;//毫秒，达到最大登录次数且在这个时间范围内

　　private static long waitInterval=60000;//失败后接受连接的等待时间，默认1分钟

　　private static int maxOnlineUser=200;//同时在线的最大数

　　private final static Map users=new HashMap();//使用ip+userName为key存放用户登录信息UserLoginAuth

　　private static Thread checkThread=null;

　　private static class CheckTimeOut implements Runnable{

　　private Thread parentThread;

　　public  CheckTimeOut(Thread parentThread)

　　{

　　this.parentThread=parentThread;

　　synchronized(this){

　　if(checkThread==null){

　　checkThread= new Thread(this);

　　//System.out.println( "创建一个新线程！");

　　checkThread.start();

　　}

　　}

　　}

　　public void run() {

　　while(true)

　　{

　　if(parentThread.isAlive()){

　　try{

　　Thread.sleep(2000);

　　int i=0;

　　if(users.size() >maxOnlineUser)//当达到最大用户数时清除

　　{

　　synchronized(users){//执行删除操作

　　Iterator it=users.keySet().iterator();

　　Set set=new HashSet();

　　Date now=new Date();

　　while(it.hasNext())

　　{

　　Object key=it.next();

　　UserConnect user=(UserConnect)users.get(key);

　　if(now.getTime()-user.getFirstFailureTime().getTime() >maxFailureInterval)//删除超时的用户

　　{

　　set.add(key);

　　logger.info( "删除了一个超时的连接"+i);

　　i++;

　　}

　　}

if(i <5)//如果删除少于5个，则强行删除1/2在线记录，牺牲性能的情况下保证内存

　　{

　　int num=maxOnlineUser/2;

　　it=users.keySet().iterator();

　　while(it.hasNext() && i{

　　set.add(it.next());

　　logger.info( "删除了一个多余的连接"+i);

　　i++;

　　}

　　}

　　users.keySet().removeAll(set);

　　}

　　}

　　}

　　catch(Exception e)

　　{

　　e.printStackTrace();

　　}

　　}

　　else

　　{

　　break;

　　}

　　}

　　logger.info( "监视程序运行结束！");

　　}

　　}

　　//通过checkLoginValidate判断是否合法的登录连接，如果合法则继续，非法则执行

　　public static boolean checkLoginValidate(String ip,String userName)//只检查认证失败次数

　　{

　　boolean ret=true;

　　Date now=new Date();

　　String key=ip+ ":"+userName;

　　UserConnect auth=(UserConnect)users.get(key);

　　if(auth==null)//把用户当前的访问信息加入到users容器中

　　{

　　auth=new UserConnect();

　　auth.setIp(ip);

　　auth.setUserName(userName);

　　auth.setFailureTimes(0);

　　auth.setFirstFailureTime(now);

　　users.put(key,auth);

　　if(checkThread==null)new CheckTimeOut(Thread.currentThread());

　　}

　　else

　　{

　　if(auth.getFailureTimes() >maxFailureTimes)

　　{

　　//如果在限定的时间间隔内，则返回拒绝用户连接的信息

　　if((now.getTime()-auth.getFirstFailureTime().getTime()) {

　　ret=false;

　　auth.setStatus(-1);

　　}

　　else  if(auth.getStatus()==-1 && (now.getTime()-auth.getFirstFailureTime().getTime()<(maxFailureInterval+waitInterval)))//重置计数器

　　{

　　ret=false;

　　}

　　else

　　{

　　auth.setFailureTimes(0);

　　auth.setFirstFailureTime(now);

　　auth.setStatus(0);

　　}

　　}

　　//登录次数加1

　　auth.setFailureTimes(auth.getFailureTimes()+1);

　　}

　　//System.out.println(key+ ":"+auth.getFailureTimes()+":"+ret+":"+(now.getTime()-auth.getFirstFailureTime().getTime()));

　　return ret;

　　}



public static void reset(String ip,String userName)//重置用户信息

　　{

　　Date now=new Date();

　　String key=ip+ ":"+userName;

　　UserConnect auth=(UserConnect)users.get(key);

　　if(auth==null)//把用户当前的访问信息加入到users容器中

　　{

　　auth=new UserConnect();

　　auth.setIp(ip);

　　auth.setUserName(userName);

　　auth.setFailureTimes(0);

　　auth.setFirstFailureTime(now);

　　users.put(key,auth);

　　}

　　else

　　{

　　auth.setFailureTimes(0);

　　auth.setFirstFailureTime(now);

　　}

　　}

　　public static void remove(String ip,String userName)//删除用户在容器中的记录

　　{

　　String key=ip+ ":"+userName;

　　users.remove(key);

　　}

　　public static void clear()//清空容器中内容

　　{

　　if(!users.isEmpty())users.clear();

　　}

　　public static long getMaxFailureInterval() {

　　return maxFailureInterval;

　　}

　　public static void setMaxFailureInterval(long maxFailureInterval) {

　　UserConnectManage.maxFailureInterval = maxFailureInterval;

　　}

　　public static int getMaxFailureTimes() {

　　return maxFailureTimes;

　　}

　　public static void setMaxFailureTimes(int maxFailureTimes) {

　　UserConnectManage.maxFailureTimes = maxFailureTimes;

　　}

　　public static int getMaxOnlineUser() {

　　return maxOnlineUser;

　　}

　　public static void setMaxOnlineUser(int maxOnlineUser) {

　　UserConnectManage.maxOnlineUser = maxOnlineUser;

　　}

　　public static long getWaitInterval() {

　　return waitInterval;

　　}

　　public static void setWaitInterval(long waitInterval) {

　　UserConnectManage.waitInterval = waitInterval;

　　}

　　四、调用接口

　　在需要进入侵检测判断的地方，直接使用UserConnectManage类中的checkLoginValidate方法即可

如EasyJWeb的核心 Servletcom.easyjf.web.ActionServlet 中调用UserConnectManage的代码：

　　if(!UserConnectManage.checkLoginValidate(request.getRemoteAddr(),"guest"))

　　{

　　info(request,response,new Exception("您对页面的刷新太快,请等待"+UserConnectManage.getWaitInterval()/1000+"秒后再刷新页面！"));

　　return;

　　}

　　五、总结

　　当然，这里提供的方法只是一个简单的实现示例，由于上面的用户信息是直接保存在内存中，若并发用户很大的时候的代码的占用，可以考虑引入数据库来记录用户的访问信息，当然相应的执行效率肯定用降低。上面介绍的实现中，入侵检测判断的策略也只有用户访问次数及时间间隔两个元素，您还可以根据你的实现情况增加其它的检测元素。

]]> http://www.caifuzhu.com.cn/default.asp?id=109 zhouhaizhe@126.com(admin) Mon,22 Mar 2010 15:44:21 +0800 http://www.caifuzhu.com.cn/default.asp?id=109


背景：

Linux服务器，Apache+tomcat。Java Web工程文件放在webapps路径下。由于除了java工程外还有别的几个Web项目，使用Apache作为http服务器。Java工程采用SSH架构，用到extjs，flex等。

将某域名和Java工程目录绑定。

有时会出现Flex页面无法获得session中数据的问题，而无论是开发调试过程中还是其它Windows服务器上均没有出现该问题。



排查：

考虑到也许存在路径设置问题引起Windows和Linux下的不同。对于java代码的排查进行了一天，包括Session变量赋值，重置和取出，包括所有路径设置，没有发现任何问题。 使用HttpFox对页面Http信息进行抓取，发现在进入Flex页面时会得到两个jsessionid，被取的session不是原有session，自然不能获得session数据。

在另一台Linux机器上就安装tomcat，采用默认设置，没有任何问题，排除上面一条的猜测 。问题必然出现在Linux服务器上，并且应该是Http或Web服务器配置问题。

停掉Apache，直接使用tomcat的Web配置（注：此时的配置并没有将域名和webapps下的工程路径绑定，但当时还没有注意到这个问题），使用IP+路径名的方式访问Web页面。Flex页面变为只有一个session。

重新启用Apache，不进行域名绑定IP，一个session。

仅用域名绑定IP， 一个session；域名绑定IP+路径名，连个session！

到此，终于定位到连个session的配置条件，可是为什么会这样呢？



此前，出现过这样的问题：即更改项目名称，则Flex页面不能正常进行数据通信。简单地进行源代码全文 查找，没有发现任何硬编码。此次再次尝试，发现仍然是这个问题，可是源文件里没有硬编码又是怎么回事呢？

经过排查，发现进行数据通信的配置文件services-config.xml中，有设置路径context.root：

代码
<channel-definition id="my-amf" class="mx.messaging.channels.AMFChannel">
            <endpoint url="http://{server.name}:{server.port}/{context.root}/spring/messagebroker/amf" class="flex.messaging.endpoints.AMFEndpoint"/>
        </channel-definition>

而该路径又是在FlexBuilder的配置中设的，其命令为：

-services "services-config.xml" -context-root "HelloBlazeds"

由于此前编译时context.root为一个固定的字符串，此后一直使用编译所得二进制文件。所以，当服务器使用域名绑定webapps下的项目名时，即——若访问URL中可以不需要加入项目路径名时，Flex执行时会因此多生成一个session，与之前session不同，于是原session中的数据无法被取到。



解决方案：

去掉路径context.root，重编译Flex文件。若设置URL不需要加入项目名称时，使用这一套编译后的Flex二进制文件。（此方案目前暂时没有测试，本次更改为备份原以Skyeye为context.root的配置和编译后的文件。）
]]> http://www.caifuzhu.com.cn/default.asp?id=108 zhouhaizhe@126.com(admin) Mon,22 Mar 2010 15:39:07 +0800 http://www.caifuzhu.com.cn/default.asp?id=108
2009年7月22日是一个比较特别的日子，对于用Eclipse开发的人来说，因为大家可以真正看到Eclipse了。哈哈，相信很多人都知道了，不知道的去看Wiki.

兄弟们可要早点起来，日食可是8点开始的。
]]> http://www.caifuzhu.com.cn/default.asp?id=107 zhouhaizhe@126.com(admin) Fri,05 Mar 2010 12:45:36 +0800 http://www.caifuzhu.com.cn/default.asp?id=107
2.这位帅哥，你好像我下一任男友

3.伯母你好，我是你儿子的男朋友

4.不要叫我宅女，请叫我居里夫人

5.真羡慕你这么年轻就认识我了。

6.最近总是失眠，16小时就醒一次。

7.人人都说我丑，其实我只是美得不明显。

8.别到处嚷嚷世界抛弃了你，世界原本就不是属于你

9.我们要向前看，不错过些歪瓜劣枣怎么知道什么是好

10.爱情是一杯酒 我小心翼翼捧给心爱的人 他不小心碰撒了 于是我兑上了水

11.生活不是林黛玉，不会因为忧伤而风情万种。

12.已经将整个青春都用来检讨青春，还要把整个生命都用来怀疑生命?

13.请转告王子,老娘还在披荆斩棘的路上,还有雪山未翻、大河未过、巨龙未杀、帅哥未泡……叫他继      续死睡吧!

14.人和猪的区别就是：猪一直是猪，而人有时却不是人

15.我爱你时，你说什么就是什么。 我不爱你时，你说你是什么。

16.你说...你喜欢我?其实...我一开始...其实我也...唉跟你说了吧,其实我也挺喜欢我自己的.

17.要不是打不过你，我早跟你翻脸了。

18.来世记得早点来娶我。

19.让我流泪的人，我一定会让你流血。

20.别轻易对别人说爱，别固执的将别人心门打开，又玩笑着离开。
]]> http://www.caifuzhu.com.cn/default.asp?id=106 zhouhaizhe@126.com(admin) Fri,26 Feb 2010 09:43:59 +0800 http://www.caifuzhu.com.cn/default.asp?id=106 http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>post 8010 test</title>
</head>
<frameset rows="*">
<frame name="main" frameborder="no" src="http://caifuzhu.com:8010">
</frameset>
<noframes><body>
<script type="text/javasctipt">window.navigate('http://caifuzhu.com:8010');</script>
</body>
</noframes></html>
]]> http://www.caifuzhu.com.cn/default.asp?id=105 zhouhaizhe@126.com(admin) Thu,25 Feb 2010 17:21:23 +0800 http://www.caifuzhu.com.cn/default.asp?id=105 Alphanumeric character Itself
\0 The NUL character (\u0000)
\t Tab (\u0009)
\n Newline (\u000A)
\v Vertical tab (\u000B)
\f Form feed (\u000C)
\r Carriage return (\u000D)
\xnn The Latin character specified by the hexadecimal number nn; for example, \x0A is the same as \n
\uxxxx The Unicode character specified by the hexadecimal number xxxx; for example, \u0009 is the same as \t
\cX The control character ^X; for example, \cJ is equivalent to the newline character \n

2. Regular e­xpression character classes Character Matches

[...] Any one character between the brackets.
[^...] Any one character not between the brackets.
.  Any character except newline or another Unicode line terminator.
\w Any ASCII word character. Equivalent to [a-zA-Z0-9_].
\W Any character that is not an ASCII word character. Equivalent to [^a-zA-Z0-9_].
\s Any Unicode whitespace character.
\S Any character that is not Unicode whitespace. Note that \w and \S are not the same thing.
\d Any ASCII digit. Equivalent to [0-9].
\D Any character other than an ASCII digit. Equivalent to [^0-9].
[\b] A literal backspace (special case).

3. Regular e­xpression repetition characters Character Meaning
{n,m} Match the previous item at least n times but no more than m times.
{n,} Match the previous item n or more times.
{n} Match exactly n occurrences of the previous item.
?  Match zero or one occurrences of the previous item. That is, the previous item is optional. Equivalent to {0,1}.
+ Match one or more occurrences of the previous item. Equivalent to {1,}.
* Match zero or more occurrences of the previous item. Equivalent to {0,}.

4。 Regular e­xpression alternation, grouping, and reference characters Character Meaning
| Alternation. Match either the sube­xpression to the left or the sube­xpression to the right.
(...) Grouping. Group items into a single unit that can be used with *, +, ?, |, and so on. Also remember the characters that match this group for use with later references.
(?:...) Grouping only. Group items into a single unit, but do not remember the characters that match this group.
\n Match the same characters that were matched when group number n was first matched. Groups are sube­xpressions within (possibly nested) parentheses. Group numbers are assigned by counting left parentheses from left to right. Groups formed with (?: are not numbered.

5. Regular-e­xpression anchor characters Character Meaning
^ Match the beginning of the string and, in multiline searches, the beginning of a line.
$ Match the end of the string and, in multiline searches, the end of a line.
\b Match a word boundary. That is, match the position between a \w character and a \W character or between a \w character and the beginning or end of a string. (Note, however, that [\b] matches backspace.)
\B Match a position that is not a word boundary.
(?=p) A positive lookahead assertion. Require that the following characters match the pattern p, but do not include those characters in the match.
(?!p) A negative lookahead assertion. Require that the following characters do not match the pattern p.

6. Regular-e­xpression flags Character Meaning
i Perform case-insensitive matching.
g Perform a global matchthat is, find all matches rather than stopping after the first match.
m Multiline mode. ^ matches beginning of line or beginning of string, and $ matches end of line or end of string.



string.replace(regexp, replacement)


Characters Replacement
$1, $2, ..., $99  The text that matched the 1st through 99th parenthesized sube­xpression within regexp
$&  The substring that matched regexp
$'  The text to the left of the matched substring
$'  The text to the right of the matched substring
$$  A literal dollar sign

name.replace(/(\w+)\s*,\s*(\w+)/, "$2 $1");
text.replace(/"([^"]*)"/g, "''$1''");
text.replace(/\b\w+\b/g, function(word) {
                           return word.substring(0,1).toUpperCase( ) +
                                  word.substring(1);
                         });
]]> http://www.caifuzhu.com.cn/default.asp?id=104 zhouhaizhe@126.com(admin) Thu,25 Feb 2010 17:19:29 +0800 http://www.caifuzhu.com.cn/default.asp?id=104


var arr = [];
for(var i=0; i<arr.length; i++){
  //loop
}

这种代码最大的问题，就在于每次循环时都要通过 .操作符获取 .length，增加了开销。那么我们可以这样改进。



var arr = [];
for(var i=0, n=arr.length; i<n; i++){
  //loop
}

这样子，先把 arr.length暂存到 n 变量中去。只在开始时获取一次。

但是这样就没问题了吗？貌似多定义了个无意义的变量 n 。好那继续改进



var arr = [];
for(var i=arr.length-1; i > -1; i--){
  //loop
}

好这样子，我们把这个循环顺序倒过来，就把那个n去掉了，而使用了一个常量-1。



如果应用场景，允许不使用 for 循环的话。我们可在使用 while代替



善于使用这两种循环语句，以提高javascript的效率。





var arr = [];
var i=arr.length-1;
while(i--){
  //loop arr[i]
}


或者



var arr = [];
var i=arr.length-1;
do {
  // loop arr[i]
}while(--i)

这样代码更简洁，效率更好，特别是如果允许先执行一次循环体的情况下，使用do while效果很明显。

唯一的问题是把 i 移到循环外了。


]]> http://www.caifuzhu.com.cn/default.asp?id=103 zhouhaizhe@126.com(admin) Thu,25 Feb 2010 17:15:25 +0800 http://www.caifuzhu.com.cn/default.asp?id=103


var arr = [];
for(var i=0; i<arr.length; i++){
  //loop
}

这种代码最大的问题，就在于每次循环时都要通过 .操作符获取 .length，增加了开销。那么我们可以这样改进。



var arr = [];
for(var i=0, n=arr.length; i<n; i++){
  //loop
}

这样子，先把 arr.length暂存到 n 变量中去。只在开始时获取一次。

但是这样就没问题了吗？貌似多定义了个无意义的变量 n 。好那继续改进



var arr = [];
for(var i=arr.length-1; i > -1; i--){
  //loop
}

好这样子，我们把这个循环顺序倒过来，就把那个n去掉了，而使用了一个常量-1。



如果应用场景，允许不使用 for 循环的话。我们可在使用 while代替



善于使用这两种循环语句，以提高javascript的效率。





var arr = [];
var i=arr.length-1;
while(i--){
  //loop arr[i]
}


或者



var arr = [];
var i=arr.length-1;
do {
  // loop arr[i]
}while(--i)

这样代码更简洁，效率更好，特别是如果允许先执行一次循环体的情况下，使用do while效果很明显。

唯一的问题是把 i 移到循环外了。



Tag标签: javascript
]]> http://www.caifuzhu.com.cn/default.asp?id=102 zhouhaizhe@126.com(admin) Thu,25 Feb 2010 17:14:45 +0800 http://www.caifuzhu.com.cn/default.asp?id=102 window.open("",'_self',"");    
window.close();  ]]> http://www.caifuzhu.com.cn/default.asp?id=101 zhouhaizhe@126.com(admin) Sun,14 Feb 2010 13:07:50 +0800 http://www.caifuzhu.com.cn/default.asp?id=101
server {
    listen 80;
    server_name  boyan.com;
    location ~ ^/(WEB-INF)/ {
        deny all;
     }

    location / {
      proxy_pass http://localhost:8888;
      proxy_set_header  X-Real-IP  $remote_addr;
    }
  }

第二步：应用程序中用 String ip = request.getHeader("X-Real-IP");替代String ip = request.getRemoteAddr();即可
转：http://www.blogjava.net/boyanxiu/archive/2010/02/09/312411.html

]]>