1、Java变量类型 Java中的每个变量都有一个类型，它决定了变量内存的大小和布局;可以存储在该存储器中的值的范围;以及可以应用于变量的操作集。 变量需要先声明才能使用，以下是变量声明的基本形式 datatypevariable[=value][,variable[=value]...]; 这里datatype是Java的数据类型之一，variable是变量的名称。要声明具有相同类型的多个变量，可以使用逗号分隔列表。 Java中有三种变量 局部变量 实例变量 类/静态变量 1.局部变量 局部变量一般在方法，构造函数或块中声明。 程序进入方法，构造函数或块时会创建局部变量，并且一旦退...

String创建的字符串存储在公共池中，而new创建的字符串对象在堆上： Strings1="Runoob";//String直接创建 Strings2="Runoob";//String直接创建 Strings3=s1;//相同引用 Strings4=newString("Runoob");//String对象创建 Strings5=newString("Runoob");//String对象创建 注String类是不可变的，因此一旦创建，就无法更改String对象。如果想要对字符串进行大量修改，则应使用StringBuffer和StringBuilder。 publicclassSt...

目的 首先我们来理解一下什么是“X-XSS-Protection”，从字面意思上看，就是浏览器内置的一种XSS防范措施。没错，这是HTTP的一个响应头字段，要开启很简单，在服务器的响应报文里加上这个字段即可。浏览器接收到这个字段则会启用对应的XSS防范模块。 这个header主要是用来防止浏览器中的反射性xss。现在，只有IE，chrome和safari（webkit）支持这个header。 开启这个功能后，当浏览器检测到跨站脚本G击（XSS）时，浏览器将对页面做清理或直接阻止整个页面的加载。 我觉得在目前这种保护措施还是挺有必要的，虽然现代的浏览器支持强大的CSP（内容安全策略）来禁用不安全...

目的 Content-Type（内容类型），一般是指网页中存在的Content-Type，用于定义网络文件的类型和网页的编码，决定浏览器将以什么形式、什么编码读取这个文件，这就是经常看到一些PHP网页点击的结果却是下载一个文件或一张图片的原因。 Content-Type标头告诉客户端实际返回的内容的内容类型。 语法格式： Content-Type:text/html;charset=utf-8 Content-Type:multipart/form-data;boundary=something 实例： 这个header主要用来防止在IE9、chrome和safari中的MIME类型混...

目的 这个header主要用来配置哪些网站可以通过frame来加载资源。它主要是用来防止UIredressing补偿样式攻-击。IE8和firefox18以后的版本都开始支持ALLOW-FROM。chrome和safari都不支持ALLOW-FROM，但是WebKit已经在研究这个了。 正确的设置 DENY–禁止所有的资源（本地或远程）试图通过frame来加载其他也支持X-Frame-Options的资源。 SAMEORIGIN–只允许遵守同源策略的资源（和站点同源）通过frame加载那些受保护的资源。 ALLOW-FROMhttp://www.example.com–允许指定的资源（必须带...

目的 StrictTransportSecurity(STS)是用来配置浏览器和服务器之间安全的通信。它主要是用来防止中间人攻-击，因为它强制所有的通信都走TLS。目前IE还不支持STS头。需要注意的是，在普通的http请求中配置STS是没有作用的，因为攻-击者很容易就能更改这些值。为了防止这样的现象发生，很多浏览器内置了一个配置了STS的站点list。 正确的设置  注意下面的值必须在https中才有效，如果是在http中配置会没有效果。  max-age=31536000–告诉浏览器将域名缓存到STSlist里面，时间是一年。 max-age=31...

目的 Access-Control-Allow-Origin是从CrossOriginResourceSharing(CORS)中分离出来的。这个header是决定哪些网站可以访问资源，通过定义一个通配符来决定是单一的网站还是所有网站可以访问我们的资源。需要注意的是，如果定义了通配符，那么Access-Control-Allow-Credentials选项就无效了，而且user-agent的cookies不会在请求里发送。 正确的设置 –通配符允许任何远程资源来访问含有Access-Control-Allow-Origin的内容。 http://www.example.com–只允许特定站点...

什么是CSP CSP全称ContentSecurityPolicy ,可以直接翻译为内容安全策略,说白了,就是为了页面内容安全而制定的一系列防护策略.通过CSP所约束的的规责指定可信的内容来源（这里的内容可以指脚本、图片、iframe、fton、style等等可能的远程的资源）。通过CSP协定，让WEB处于一个安全的运行环境中。 有什么用? 我们知道前端有个很著名的”同源策略”,简而言之,就是说一个页面的资源只能从与之同源的服务器获取,而不允许跨域获取.这样可以避免页面被注入恶意代码,影响安全.但是这个策略是个双刃剑,挡住恶意代码的同时也限制了前端的灵活性,那有没有一种方法既可以让我...

Cooke请求头对应Cookie字段、响应头对应Set-Cookie字段 建议安全设置的cookie值如下 Set-Cookie:<key>=<value>;Expires=<expriesDate>[;domain=domain][;path=path];Secure;HttpOnly;SameSite=strict value：一般是键值对 expires：表示会在xxx时间之后失效（浏览器不会再发送给服务器），对于失效cookie浏览器会清空（也不是显式删除，是别的cookie覆盖此cookie，从而实现旧cookie删除） domain：默认是...

一、V1和V2签名介绍 1.工具介绍 jarsigner是JDK提供的针对jar包签名的通用工具,位于JDK/bin/jarsigner.exe apksigner是Google官方提供的针对Androidapk签名及验证的专用工具,位于AndroidSDK/build-tools/SDK版本/apksigner.bat 不管是apk包,还是jar包,本质都是zip格式的压缩包,所以它们的签名过程都差不多(仅限V1签名),以上两个工具都可以对Androidapk包进行签名. 2.V1和V2签名的区别 从Android7.0开始,谷歌增加新签名方案V2Scheme(APKSignature); ...