本文目录一览:
- 1、如何设置myeclipse的jvm启动参数
- 2、基因探针的探针标记
- 3、XSS攻击原理是什么
- 4、nuclear run-on assay
- 5、为什么我的xss 攻击不显示图片
- 6、如何正确防御xss攻击
如何设置myeclipse的jvm启动参数
-Xint
设置jvm以解释模式运行,所有的字节码将被直接执行,而不会编译成本地码。
-Xbatch
关闭后台代码编译,强制在前台编译,编译完成之后才能进行代码执行;
默认情况下,jvm在后台进行编译,若没有编译完成,则前台运行代码时以解释模式运行。
-Xbootclasspath:bootclasspath
让jvm从指定路径(可以是分号分隔的目录、jar、或者zip)中加载bootclass,用来替换jdk的rt.jar;若非必要,一般不会用到;
-Xbootclasspath/a:path
将指定路径的所有文件追加到默认bootstrap路径中;
-Xbootclasspath/p:path
让jvm优先于bootstrap默认路径加载指定路径的所有文件;
-Xcheck:jni
对JNI函数进行附加check;此时jvm将校验传递给JNI函数参数的合法性,在本地代码中遇到非法数据时,jmv将报一个致命错误而终止;使用该参数后将造成性能下降,请慎用。
-Xfuture
让jvm对类文件执行严格的格式检查(默认jvm不进行严格格式检查),以符合类文件格式规范,推荐开发人员使用该参数。
-Xnoclassgc
关闭针对class的gc功能;因为其阻止内存回收,所以可能会导致OutOfMemoryError错误,慎用;
-Xincgc
开启增量gc(默认为关闭);这有助于减少长时间GC时应用程序出现的停顿;但由于可能和应用程序并发执行,所以会降低CPU对应用的处理能力。
-Xloggc:file
与-verbose:gc功能类似,只是将每次GC事件的相关情况记录到一个文件中,文件的位置最好在本地,以避免网络的潜在问题。
若与verbose命令同时出现在命令行中,则以-Xloggc为准。
-Xmsn
指定jvm堆的初始大小,默认为物理内存的1/64,最小为1M;可以指定单位,比如k、m,若不指定,则默认为字节。
-Xmxn
指定jvm堆的最大值,默认为物理内存的1/4或者1G,最小为2M;单位与-Xms一致。
-Xprof
跟踪正运行的程序,并将跟踪数据在标准输出输出;适合于开发环境调试。
-Xrs
减少jvm对操作系统信号(signals)的使用,该参数从1.3.1开始有效;
从jdk1.3.0开始,jvm允许程序在关闭之前还可以执行一些代码(比如关闭数据库的连接池),即使jvm被突然终止;
jvm 关闭工具通过监控控制台的相关事件而满足以上的功能;更确切的说,通知在关闭工具执行之前,先注册控制台的控制handler,然后对 CTRL_C_EVENT, CTRL_CLOSE_EVENT, CTRL_LOGOFF_EVENT, and
CTRL_SHUTDOWN_EVENT这几类事件直接返回true。
但如果jvm以服务的形式在后台运行(比如servlet引擎),他能接 收CTRL_LOGOFF_EVENT事件,但此时并不需要初始化关闭程序;为了避免类似冲突的再次出现,从jdk1.3.1开始提供-Xrs参数;当此 参数被设置之后,jvm将不接收控制台的控制handler,也就是说他不监控和处理CTRL_C_EVENT, CTRL_CLOSE_EVENT, CTRL_LOGOFF_EVENT, or
CTRL_SHUTDOWN_EVENT事件。
-Xssn
设置单个线程栈的大小,一般默认为512k。
上面这些参数中,比如-Xmsn、-Xmxn……都是我们性能优化中很重要的参数;
-Xprof、-Xloggc:file等都是在没有专业跟踪工具情况下排错的好手;
在上一小节中提到的关于JProfiler的配置中就使用到了-Xbootclasspath/a:path;
非Stable参数
前面我们提到用-XX作为前缀的参数列表在jvm中可能是不健壮的,SUN也不推荐使用,后续可能会在没有通知的情况下就直接取消了;但是由于这些参数中的确有很多是对我们很有用的,比如我们经常会见到的-XX:PermSize、-XX:MaxPermSize等等;
下面我们将就Java HotSpot VM中-XX:的可配置参数列表进行描述;
这些参数可以被松散的聚合成三类:
行为参数(Behavioral Options):用于改变jvm的一些基础行为;
性能调优(Performance Tuning):用于jvm的性能调优;
调试参数(Debugging
Options):一般用于打开跟踪、打印、输出等jvm参数,用于显示jvm更加详细的信息;
由于sun官方文档中对各参数的描述也都非常少(大多只有一句话),而且大多涉及OS层面的东西,很难描述清楚,所以以下是挑选了一些我们开发中可能会用得比较多的配置项,若需要查看所有参数列表,可以点击HotSpot VM Specific
Options.查看原文;
首先来介绍行为参数:
参数及其默认值
描述
-XX:-DisableExplicitGC
禁止调用System.gc();但jvm的gc仍然有效
-XX:+MaxFDLimit
最大化文件描述符的数量限制
-XX:+ScavengeBeforeFullGC
新生代GC优先于Full GC执行
-XX:+UseGCOverheadLimit
在抛出OOM之前限制jvm耗费在GC上的时间比例
-XX:-UseConcMarkSweepGC
对老生代采用并发标记交换算法进行GC
-XX:-UseParallelGC
启用并行GC
-XX:-UseParallelOldGC
对Full GC启用并行,当-XX:-UseParallelGC启用时该项自动启用
-XX:-UseSerialGC
启用串行GC
-XX:+UseThreadPriorities
启用本地线程优先级
上面表格中黑体的三个参数代表着jvm中GC执行的三种方式,即串行、并行、并发;
串行(SerialGC)是jvm的默认GC方式,一般适用于小型应用和单处理器,算法比较简单,GC效率也较高,但可能会给应用带来停顿;
并行(ParallelGC)是指GC运行时,对应用程序运行没有影响,GC和app两者的线程在并发执行,这样可以最大限度不影响app的运行;
并发(ConcMarkSweepGC)是指多个线程并发执行GC,一般适用于多处理器系统中,可以提高GC的效率,但算法复杂,系统消耗较大;
性能调优参数列表:
参数及其默认值
描述
-XX:LargePageSizeInBytes=4m
设置用于Java堆的大页面尺寸
-XX:MaxHeapFreeRatio=70
GC后java堆中空闲量占的最大比例
-XX:MaxNewSize=size
新生成对象能占用内存的最大值
-XX:MaxPermSize=64m
老生代对象能占用内存的最大值
-XX:MinHeapFreeRatio=40
GC后java堆中空闲量占的最小比例
-XX:NewRatio=2
新生代内存容量与老生代内存容量的比例
-XX:NewSize=2.125m
新生代对象生成时占用内存的默认值
-XX:ReservedCodeCacheSize=32m
保留代码占用的内存容量
-XX:ThreadStackSize=512
设置线程栈大小,若为0则使用系统默认值
-XX:+UseLargePages
使用大页面内存
我们在日常性能调优中基本上都会用到以上黑体的这几个属性;
调试参数列表:
参数及其默认值
描述
-XX:-CITime
打印消耗在JIT编译的时间
-XX:ErrorFile=./hs_err_pid.log
保存错误日志或者数据到文件中
-XX:-ExtendedDTraceProbes
开启solaris特有的dtrace探针
-XX:HeapDumpPath=./java_pid.hprof
指定导出堆信息时的路径或文件名
-XX:-HeapDumpOnOutOfMemoryError
当首次遭遇OOM时导出此时堆中相关信息
-XX:
出现致命ERROR之后运行自定义命令
-XX:OnOutOfMemoryError=";"
当首次遭遇OOM时执行自定义命令
-XX:-PrintClassHistogram
遇到Ctrl-Break后打印类实例的柱状信息,与jmap -histo功能相同
-XX:-PrintConcurrentLocks
遇到Ctrl-Break后打印并发锁的相关信息,与jstack -l功能相同
-XX:-PrintCommandLineFlags
打印在命令行中出现过的标记
-XX:-PrintCompilation
当一个方法被编译时打印相关信息
-XX:-PrintGC
每次GC时打印相关信息
-XX:-PrintGC Details
每次GC时打印详细信息
-XX:-PrintGCTimeStamps
打印每次GC的时间戳
-XX:-TraceClassLoading
跟踪类的加载信息
-XX:-TraceClassLoadingPreorder
跟踪被引用到的所有类的加载信息
-XX:-TraceClassResolution
跟踪常量池
-XX:-TraceClassUnloading
跟踪类的卸载信息
-XX:-TraceLoaderConstraints
跟踪类加载器约束的相关信息
基因探针的探针标记
探针是能与特异靶分子反应并带有供反应后检测的合适标记物的分子。利用核苷酸碱基顺序互补的原理,用特异的基因探针即识别特异碱基序列的有标记的一段单链DNA(或RNA)分子,与被测定的靶序列互补,以检测被测靶序列的技术叫核酸探针技术。探针制备就是将目的基因进行标记。特异性探针有三种形式——cDNA、RNA、寡核苷酸。cDNA和寡核苷酸是目前最常采用的探针。RNA探针用途很广,也容易获得,但其不稳定性限制了其商业用途。cDNA探针的获得是,将特定的基因片段装载到质粒或噬菌体中,经过扩增、酶切、纯化等复杂的步骤,才能得到一定长度的cDNA探针。这一过程比较复杂,有相应条件的实验室才能做到。寡核苷酸探针是在已知基因序列的情况下,由核酸合成仪来完成,可廉价获得大量的此类探针。质量也相对来说更为稳定。由于cDNA探针长度通常为数百至数千个碱基,所以有良好的信号放大作用,但其渗透性比较差。寡核苷酸探针一般为十数个至数十个碱基,渗透性强,但信号放大作用则较差,合成的多相寡核苷酸探针,敏感性可以达到cDNA探针水平。
探针的标记方式有放射性标记和非放射性标记。标记物质有放射性元素(如32P等)和非放射性物质(如生物素、地高辛等)。32P是最常用的核苷酸标记同位素,被标记的dNTP本身就带有磷酸基团,便于标记。特点是比活性高,可达9000Ci/mmol;发射的β射线能量高。用它标记的探针自显影时间短,灵敏度高。32P的半寿期短,虽使用不方便,但为废弃物的处理减轻了压力。非放射性标记法有酶标法和化学物标记法。酶标方法与免疫测定ELISA方法相似,只是被标记的核酸代替了被标记的抗体,事实上被标记的抗体也称为探针,现有许多商品是生物素、地高辛标记的。血凝素与生物素有非常高的亲和性,当血凝素标记上过氧化物酶或碱性磷酸酶,经杂交反应最终形成探针-生物素-血凝素酶复合物(ABC法),酶催化底物显色,观察结果。ABC法底物显色生成不溶物,以便观测结果。酶标记法复杂、重复性差,成本高,但便于运输、保存,灵敏度与放射物标记法相当。 ①缺口平移标记法。利用的是DNA聚合酶I能修复DNA链的功能。该法先由DNaseI在DNA双链上随机切出切口,然后DNA聚合酶I沿缺口水解5acute;端核苷酸,同时在3acute;端修复加入被标记核苷酸,切口平行推移。缺口平移法快速、简便、成本相对较低、比活性相对较高、标记均匀,多用于大分子DNA标记,(1000bp最好),但单链DNA、RNA不能用该法标记。
②随机引物法。随机引物是指含有各种可能排列顺序的寡聚核苷酸片断的混合物,因此它可以与任意核苷酸序列杂交,起到聚合酶反应的引物作用。将待标记的DNA探针片断变性后与随机引物一起杂交,然后以此杂交的寡聚核苷酸为引物,在大肠杆菌DNA聚合酶I大断段(KlenowFragment)催化下,合成与探针DNA互补的DNA链,当在反应体系中含有a-32P-dNTP时,即形成放射性同位素标记的DNA探针。具有上述优点,可代替缺口平移法。此外大小、单双DNA均可标记,标记均匀,标记率高,但也不能标记环状DNA。随机引物法标记探针一般长400~600bp。
③末端标记法(又叫尾标)。利用末端转移酶可进行“尾标”,尾标适用于寡核苷酸探针标记,寡核苷酸探针多用于核酸“点”突变的检测,该探针可用核酸合成仪人工合成,克隆出的探针一般较长,特异性好,标记量大,杂交的检出信号强。 1、4—6微米切片,用防脱片胶(多聚赖氨酸)处理过的玻片贴附
2、56—60℃烤片2—16h
3、新鲜二甲苯脱蜡,10minX2(趁热脱蜡)
4、100%乙醇5minX2次,不用浸水,直接空气干燥
5、加入50μl蛋白酶K工作液(蛋白酶K用蒸馏水稀释,浓度为25μg/ml),37℃消化10—15min
6、弃去蛋白酶K工作液,0.1MTBS洗涤3minX3次逐级酒精脱水(85%,95%,100%酒精)1minX3次然后空气干燥
7、加入20μl探针,加盖薄膜。(探针用预杂交液稀释,浓度为5μg/ml)。
8、95℃变性10—12min;立刻置于冰块上,防止复性。
9、37℃杂交16—20h
10、揭去薄膜,每张切片加入以下杂交后洗涤液:
用2—3滴2XSSC37℃洗涤3minX2次;
0.5XSSC37℃洗涤3minX2次;
0.2XSSC37℃洗涤3minX2次;
11、0.1MPBS/TBS缓冲液洗涤,1minX3次
12、滴加小鼠抗地高辛生物素标记的抗体工作液,37℃孵育45—60min;
13、0.1MPBS浸洗,5minX3次
14、滴加高敏碱性磷酸酶链亲和素复合物工作液,37℃孵育45—60min。
15、0.1MPBS浸洗,5minX3次
16、滴加NBT/BCIP显色6—16h,
17、双蒸水终止反应(37℃10min—2h),双蒸水浸洗,5minX2次
18、滴加核固红,30秒—5min;
19、双蒸水浸洗,5minX3次
20、脱水、透明、封片
XSS攻击原理是什么
Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信任,诱骗用户或浏览器执行一些不安全的操作或者向其它网站提交用户的私密信息。
比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取cookie中的用户私密信息;或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。
诸如此类,唯一能完全杜绝xss攻击的方法,就是禁用script,img等,显然这是不靠谱的,用户需要丰富的页面内容;当然我们可以用一些方法预防xss攻击,尽量减少xss造成的危害。
XSS攻击的危害包括
盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击
nuclear run-on assay
Northern印迹杂交(Northern blot)。
原理:
将RNA固定于尼龙膜上
以DNA探针识别待检mRNA
这是一种将RNA从琼脂糖凝胶中转印到硝酸纤维素膜上的方法。DNA印迹技术由Southern于1975年创建,称为Southern印迹技术,RNA印迹技术正好与DNA相对应,故被称为Northern印迹杂交,与此原理相似的蛋白质印迹技术则被称为Western blot。Northern 印迹杂交的RNA吸印与Southern印迹杂交的DNA吸印方法类似,只是在进样前用甲基氢氧化银、乙二醛或甲醛使RNA变性,而不用NaOH,因为它会水解RNA的2'-羟基基团。RNA变性后有利于在转印过程中与硝酸纤维素膜结合,它同样可在高盐中进行转印,但在烘烤前与膜结合得并不牢固,所以在转印后用低盐缓冲液洗脱,否则RNA会被洗脱。在胶中不能加EB,因为它会影响RNA与硝酸纤维素膜的结合。为测定片段大小,可在同一块胶上加分子量标记物一同电泳,之后将标记物切下、上色、照像,样品胶则进行Northern转印。标记物胶上色的方法是在暗室中将其浸在含5μg/ml
EB的0.1mol/L醋酸铵中10min,光在水中就可脱色,在紫外光下用一次成像相机拍照时,上色的RNA胶要尽可能少接触紫外光,若接触太多或在白炽灯下暴露过久,会使RNA信号降低。琼脂糖凝胶中分离功能完整的mRNA时,甲基氢氧化银是一种强力、可逆变性剂,但是有毒,因而许多人喜用甲醛作为变性剂。所有操作均应避免RNase的污染。
Nuclei Run-on
原理:
迅速冷冻,使细胞核内正在转录的mRNA复合体处于冻结状态
加入ATP/GTP/CTP/32P-UTP,重新恢复mRNA的转录并使之结束(标记冻结时正在转录的mRNA),提取mRNA
以cDNA探针及对照cDNA标记尼龙膜后检测目标mRNA
2、操作过程:
细胞核的提取
处理细胞(培养于10厘米培养皿)
吸去培养液,迅速将细胞放于冰上
用10ml冰预冷的PBS洗细胞一次
加10ml冰预冷的PBS,刮下细胞,移入离心管
500g离心5分钟后弃去液体
边混悬边加入4ml NP-40裂解液
10mM Tris-HCL, PH7.4
10mM NaCL
3mM MgCL2
0.5% NP-40
置冰上孵育5分钟,同前离心,弃去上清
以4ml NP-40裂解液重悬沉淀、洗涤,同前离心并弃去上清
以200ul甘油储存液重悬沉淀,保存于液氮中甘油
50mM Tris-HCL, PH8.3
40%甘油
5mM MgCL2
0.1mM EDTA
Run-on
将冻存的细胞核解冻
加入200ul 2X反应缓冲液
10mM Tris-HCL, PH8
5mM MgCL2
0.3M KCL
5mM DTT
1mM ATP
1mM CTP
1mM GTP
加入32P-UTP100uCi
于30℃反应30分钟,同时震荡
总RNA提取:
加入1.4ml RLT(QIAGEN公司)
用Rneasy Mini Kit抽取总RNA
用700ul SW1洗一次
用500ul RPE洗4次
用110ul RNase free ddH2O洗脱两次
取3ul加入液闪检测液测取CPM值
探针cDNA标记尼龙膜:
0.5N NaOH处理尼龙膜
5-10ug/样点膜
自然晾干
Crosslink
4) 杂交:
取相等CPM量RNA,加入2ml TES/0.6M NaCL
10mM TES
10mM EDTA
0.2%SDS
在杂交炉中,68℃反应过夜
用2XSSC/0.1%SDS洗膜三次
用0.1XSSC/0.1%SDS洗膜三次
曝光于X光胶片
为什么我的xss 攻击不显示图片
网页图片无法显示的原因大致如下:
1,网速问题。导致没有打开网页上的图片,检查网速即可;
2,浏览器问题。导致图片不正常显示,更新、重装当前浏览器,或者换用其他浏览器即可;
3,网站删除了图片,导致如此显示效果。如果其他网站图片正常,只有这个网站无法显示,那么这个无法解决;
4,电脑缺失flash插件。更新或者安装flash插件即可。
如何正确防御xss攻击
传统防御技术
2.1.1基于特征的防御
传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击。
2.1.2 基于代码修改的防御
和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免:
1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。
2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行。
3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。
当然,如上方法将会降低Web业务系统的可用性,用户仅能输入少量的制定字符,人与系统间的交互被降到极致,仅适用于信息发布型站点。
并且考虑到很少有Web编码人员受过正规的安全培训,很难做到完全避免页面中的XSS漏洞。
扩展资料:
XSS攻击的危害包括
1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号
2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力
3、盗窃企业重要的具有商业价值的资料
4、非法转账
5、强制发送电子邮件
6、网站挂马
7、控制受害者机器向其它网站发起攻击
受攻击事件
新浪微博XSS受攻击事件
2011年6月28日晚,新浪微博出现了一次比较大的XSS攻击事件。
大量用户自动发送诸如:
“郭美美事件的一些未注意到的细节”,“建党大业中穿帮地方”,“让女人心动的100句诗歌”,“这是传说中的神仙眷侣啊”等等微博和私信,并自动关注一位名为hellosamy的用户。
事件的经过线索如下:
20:14,开始有大量带V的认证用户中招转发蠕虫
20:30,某网站中的病毒页面无法访问
20:32,新浪微博中hellosamy用户无法访问
21:02,新浪漏洞修补完毕
百度贴吧xss攻击事件
2014年3月9晚,六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍,病毒循环发帖。并且导致吧务人员,和吧友被封禁。
参考资料:
XSS攻击-百度百科
