XSS 攻击指的是跨站脚本攻击，是一种代码注入攻击。攻击者通过在网站注入恶意脚本，使之在用户的浏览器上运行，从而盗取用户的信息如 cookie 等。

此案例源于一次对金融系统的漏洞挖掘，主要漏洞点集中在CSRF跨站请求伪造漏洞上，印象比较深。这个系统经过各个厂商N轮测试了，功能点又少，漏洞挖掘的难度很大，但是最终还是挖到了几个影响较大的CSRF漏洞，接下来把测试过程分...

SPI 全称为 Service Provider Interface，是一种服务发现机制。SPI 的本质是将接口实现类的全限定名配置在文件中，并由服务加载器读取配置文件，加载实现类。这样可以在运行时，动态为接口替换实现类。正因此特性，我们可以很...

MDC（Mapped Diagnostic Context，映射调试上下文）是 log4j 、logback及log4j2 提供的一种方便在多线程条件下记录日志的功能。MDC 可以看成是一个与当前线程绑定的哈希表，可以往其中添加键值对。MDC 中包含的内容可以被同...

在项目中，如果需要在 Header 中获取请求头，一般使用 RequestHeader 注解。代码案例如下：

有时通过过滤器 Filter 与包装 HttpServletRequest 添加自定义 header；非常有用。有类似如下一些场景：

11月24号，Spring Boot 3.0 发布了第一个正式的 GA 版本，一起看看新版本到底有哪些变化。

目前，公司方面 RPC 调用如 Dubbo、Feign 已经能支持基于灰度的调用，但是 MQ 还没有支持灰度的能力，因此导致在测试和生产环境业务验证、消息隔离方面体验比较差，因此我们基于 RabbitMQ 和 Kafka 实现了消息灰度的能力。...

2020.11.20 To fix The Mapping Values of The total length of a Data Validation list always exceed 255 characters (# 196) (https://github.com/dotnetcore/Magicodes...

2020.11.20 To fix The Mapping Values of The total length of a Data Validation list always exceed 255 characters (# 196) (https://github.com/dotnetcore/Magicodes...