关于集群中的”脑裂”问题，之前已经在这里详细介绍过，下面重点说下Zookeeper脑裂问题的处理办法。ooKeeper是用来协调（同步）分布式进程的服务，提供了一个简单高性能的协调内核，用户可以在此之上构建更多复杂的分布式协调功能。脑裂通常会出现在集群环境中，比如ElasticSearch、Zookeeper集群，而这些集群环境有一个统一的特点，就是它们有一个大脑，比如ElasticSearch集群中有Master节点，Zookeeper集群中有Leader节点。

近期遇到一个spring注解事务失效的问题，先上代码（以下代码经过简化，只保留关键点）。

第一部分：具体问题

接下来上一下代码，大致介绍一下流程。

Controller

Controller里面使用@Autowired注入了一个serviceImpl，然后调用这个serviceImpl的业务方法。

ServiceImpl的属性

自动装配了另一个service和一个dao

重点看serviceImpl的方法（经过简化，只保留了关键点）

红框是两个insert数据库操作，需要事务管理

最下面的抛出异常是为了测试事务。

其中红框里面的super.addNew方法上有@Transactional(rollbackFor = Exception.class)注解。所以看上去并没有什么问题，但是每次抛出异常，数据库的操作都没有回滚。

问题大致就是这样，本来以为事情会很容易被解决，因为在网上看过很多事务失效的例子，各种原因被各种大神列举了很多次了。

第二部分：常规问题解决

普通事务失效原因：

1.如使用mysql且引擎是MyISAM，则事务会不起作用，原因是MyISAM不支持事务，可以改成InnoDB

2. 如果使用了spring+mvc，则context:component-scan重复扫描问题可能会引起事务失败。 （即父子容器）

3. @Transactional 注解开启配置，必须放到listener里加载，如果放到DispatcherServlet的配置里，事务也是不起作用的。

4. @Transactional 注解只能应用到 public 可见度的方法上。 如果你在 protected、private 或者 package-visible 的方法上使用 @Transactional 注解，它也不会报错，事务也会失效。

5. Spring团队建议在具体的类（或类的方法）上使用 @Transactional 注解，而不要使用在类所要实现的任何接口上。在接口上使用 … 阅读全文

1.常用限流方法
对于一个应用系统来说一定会有极限并发/请求数，即总有一个TPS/QPS阀值，如果超了阀值则系统就会不响应用户请求或响应的非常慢，因此我们最好进行过载保护，防止大量请求涌入击垮系统。

常见的限流方法有：

容器限流

常见的web容器其实也具备限流的功能。

以Tomcat容器为例，其Connector 其中一种配置有如下几个参数：

acceptCount：如果Tomcat的线程都忙于响应，新来的连接会进入队列排队，如果超出排队大小，则拒绝连接；

maxConnections： 瞬时最大连接数，超出的会排队等待；

maxThreads：Tomcat能启动用来处理请求的最大线程数，如果请求处理量一直远远大于最大线程数则可能会僵死。

限流总资源数

如果有的资源是稀缺资源（如数据库连接、线程），而且可能有多个系统都会去使用它，那么需要限制应用；可以使用池化技术来限制总资源数：连接池、线程池。比如分配给每个应用的数据库连接是100，那么本应用最多可以使用100个资源，超出了可以等待或者抛异常。

限流某个接口的总并发/请求数

如果接口可能会有突发访问情况，但又担心访问量太大造成崩溃，如抢购业务；这个时候就需要限制这个接口的总并发请求数了；因为粒度比较细，可以为每个接口都设置相应的阀值。可以使用Java中的AtomicLong进行限流：

try {
if(atomic.incrementAndGet() > 限流数) {
//拒绝请求
}
//处理请求
} finally {
atomic.decrementAndGet();
}

利用Netflix的hystrix限流

2.漏桶算法 VS 令牌桶算法
2.1 漏桶算法(Leaky Bucket)
漏桶算法(Leaky Bucket)：水(请求)先进入到漏桶里,漏桶以一定的速度出水(接口有响应速率),当水流入速度过大会直接溢出(访问频率超过接口响应速率),然后就拒绝请求,可以看出漏桶算法能强行限制数据的传输速率.示意图如下:

可见这里有两个变量,一个是桶的大小,支持流量突发增多时可以存多少的水(burst),另一个是水桶漏洞的大小(rate)。

2.2 … 阅读全文

前言

xss攻击(跨站脚本攻击)：攻击者在页面里插入恶意脚本代码，用户浏览该页面时，脚本代码就会执行，达到攻击者的目的。原理就是：攻击者对含有漏洞的服务器注入恶意代码，引诱用户浏览受到攻击的服务器，并打开相关页面，执行恶意代码。
xss攻击方式：一、反射性攻击，脚本代码作为url参数提交给服务器，服务器解析执行后，将脚本代码返回给浏览器，最后浏览器解析执行攻击代码；二、存储性攻击，和发射性攻击的区别是，脚本代码存储在服务器，下次在请求时，不用再提交脚本代码。其中一个示例图如下所示：

CSRF攻击：跨站请求伪造攻击，CSRF是一种欺骗受害者提交恶意请求的攻击，并劫持受害者的身份和特权，并以受害者的身份访问未授权的信息和功能。序列图如下所示：

同步器Token

解决XSS攻击和CSRF攻击的一个推荐方法就是同步器Token，就是在post的请求中，增加一个token，每次请求到来，服务器都会验证请求中的token和服务器期望的值是否一致，如果不一致，服务器将请求视为非法的，整个过程的示例图如下所示：

在spring security中如果使用的是 @EnableWebMvcSecurity而不是@EnableWebSecurity，同步器Token是默认打开的，通过http().csrf().disable()可以关闭同步器token功能。spring security发现token无效后，会返回一个403的访问拒绝，不过可以通过配置AccessDeniedHandler类处理InvalidCsrfTokenException异常来定制行为。

spring security虽然默认是打开同步器token保护的，但是也提供了一个显示打开的行为即http().csrf(),同时需要在html的form表单中添加以“<input type=”hidden”name=”${_csrf.parameterName}” value=”${_csrf.token}”/>”

如果请求的是json或ajax请求，如何使用同步器token防护那？
json请求的话，我们可以在header的元数据中添加token防护，代码如下所示：

<head>
<meta name="_csrf" content="${_csrf.token}"/>
<!-- default header name is X-CSRF-TOKEN -->
<meta name

… 阅读全文

1. port

现在，安全研究者对网站或者应用程序进行渗透测试而不用任何自动化工具似乎已经越来越难。因此选择一个正确的工具则变得尤为重要，正确的选择甚至可以占到渗透测试成功的半壁江山。

1. Nmap

Nmap一直是网络发现和攻击界面测绘的首选工具。从主机发现和端口扫描，到操作系统检测和IDS规避/欺骗，Nmap 是不少黑客及脚本小子爱用的工具 。

系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用Nmap来搜集目标电脑的网络设定，从而计划攻击的方法。

Nmap通常用在信息搜集阶段，用于搜集目标机主机的基本状态信息。扫描结果可以作为漏洞扫描、漏洞利用和权限提升阶段的输入。例如，业界流行的漏洞扫描工具Nessus与漏洞利用工具Metasploit都支持导入Nmap的XML格式结果，而Metasploit框架内也集成了Nmap工具（支持Metasploit直接扫描）。

Nmap不仅可以用于扫描单个主机，也可以适用于扫描大规模的计算机网络（例如，扫描英特网上数万台计算机，从中找出感兴趣的主机和服务）。

下载地址：https://nmap.org/

2. Metasploit

Metasploit是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。这些功能包括智能开发，代码审计，Web应用程序扫描，社会工程学。

最为知名的是Metasploit框架。Metasploit框架使Metasploit具有良好的可扩展性，它的控制接口负责发现漏洞、攻击漏洞，提交漏洞，然后通过一些接口加入攻击后处理工具和报表工具。Metasploit框架可以从一个漏洞扫描程序导入数据，使用关于有漏洞主机的详细信息来发现可攻击漏洞，然后使用有效载荷对系统发起攻击。所有这些操作都可以通过Metasploit的Web界面进行管理，而它只是其中一种种管理接口，另外还有命令行工具和一些商业工具等等。

攻击者可以将来漏洞扫描程序的结果导入到Metasploit框架的开源安全工具Armitage中，然后通过Metasploit的模块来确定漏洞。一旦发现了漏洞，攻击者就可以采取一种可行方法攻击系统，通过Shell或启动Metasploit的meterpreter来控制这个系统。

下载地址：https://www.metasploit.com/

3. Wireshark

Wireshark是世界上最重要和最广泛使用的网络协议分析器。它可以让你在微观层面上看到你的网络上正在发生的事情，并且是许多商业和非盈利企业、政府机构和教育机构的标准。

Wireshark（前称Ethereal）是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。

在过去，网络数据包分析软件是非常昂贵，或是专门属于营利用的软件，Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下，用户可以以免费的代价获取软件与其代码，并拥有针对其源代码修改及定制的权利。Wireshark是当前全世界最广泛的网络数据包分析软件之一。

下载地址：https://www.wireshark.org/

4. Burp Suite

Burp Suite是一个为渗透测试人员开发的集成平台，用于测试和评估Web应用程序的安全性。它非常易于使用，并且具有高度可配置性。除了代理服务器、Scanner 和Intruder等基本功能外，该工具还包含更高级的选项，如Spider、Repeater、Decoder、Comparer、Extender和Sequencer。

目前，免费版本功能很有限，但付费版本（每用户399美元）提供全面的网络爬取和扫描功能(支持超过100个漏洞——囊括OWASP十大)、多攻击点、基于范围的配置。

下载地址：https://

… 阅读全文

目标

import java.io.IOException;

import javax.servlet.Filter;

前言

定义：