博客 (230)

一般我们使用原生 JS 的时候使用 abort() 来取消 fetch 请求。

在使用 axios 发送请求时，如果我们想要取消请求，可以使用 axios 提供的 CancelToken 和 cancel 方法。下面是具体的实现步骤：

// 创建 CacnelToken 实例
const cancelTokenSource = axios.CancelToken.source();
// GET 方式请求
axios.get(url, {
    cancelToken: cancelTokenSource.token
}).catch(thrown => {
  if (axios.isCancel(thrown)) {
    console.log('Request canceled', thrown.message);
  } else {
    console.log('An error occurred', thrown);
  }
});
// POST 方式请求
axios.post(url, data, {
    cancelToken: cancelTokenSource.token
});
// 取消请求
cancelTokenSource.cancel('请求被取消');

get 请求的时候，cancelToken 是放在第二个参数里；post 的时候，cancelToken 是放在第三个参数里。axios-0.27.2 中测试成功。

在即时响应的搜索框中可以这样处理：（vue3）

let cancelTokenSource;
const app = Vue.createApp({
    methods: {
        fn_list: function () {
            // 如果已有请求则取消
            cancelTokenSource && cancelTokenSource.cancel();
            // 创建一个新的请求
            cancelTokenSource = axios.CancelToken.source();
            axios.post(url, data, {
                cancelToken: cancelTokenSource.token
            }).then(function (response) {
                // 请求成功
            }).catch(function (error) {
                // 请求失败/取消
            });
        },
    }
});
const vm = app.mount('#app');

如果你用 jQuery，请参此文。

[-] .\Navicat-Cracker\NavicatCrackerDlg.cpp:300 ->

    Failed to open libcc.dll

    拒绝访问。  (0x5)

解决方法：以管理员身份运行 exe 文件。

Pomelo.EntityFrameworkCore.MySql 升级到 7.0 后出现：

System.InvalidOperationException:“The 'sbyte' property could not be mapped to the database type 'tinyint(1)' because the database provider does not support mapping 'sbyte' properties to 'tinyint(1)' columns. Consider mapping to a different database type or converting the property value to a type supported by the database using a value converter. See https://aka.ms/efcore-docs-value-converters for more information. Alternately, exclude the property from the model using the '[NotMapped]' attribute or by using 'EntityTypeBuilder.Ignore' in 'OnModelCreating'.”

对比 6.0 生成的 DbContext.cs 发现缺少了 UseLoggerFactory，按旧版修改即可。

找到 OnConfiguring 方法，上方插入：

public static readonly LoggerFactory MyLoggerFactory = new LoggerFactory(new[] {
    new DebugLoggerProvider()
});

在 OnConfiguring 方法中将：

optionsBuilder.UseMySql("连接字符串");

改为：

optionsBuilder.UseLoggerFactory(MyLoggerFactory).UseMySql("连接字符串");

以 ASP.NET 6 返回 BadRequestObjectResult 为例。

public IActionResult Post()
{
    return BadRequest("友好的错误提示语");
}

axios

请求示例：

axios.post(url, {})
.then(function (response) {
    console.log(response.data);
})
.catch(function (error) {
    console.log(error.response.data);
});

error 对象：

{
  "message": "Request failed with status code 400",
  "name": "AxiosError",
  "code": "ERR_BAD_REQUEST",
  "status": 400,
  "response": {
    "data": "友好的错误提示语",
    "status": 400
  }
}

jQuery

请求示例：

$.ajax 对象形式

$.ajax({
    url: url,
    type: 'POST',
    data: {},
    success: function (data) {
        console.log(data)
    },
    error: function (jqXHR) {
        console.log(jqXHR.responseText)
    },
    complete: function () {
    },
});

$.ajax 事件处理形式（Event Handlers）jQuery 3+

$.ajax({
    url: url,
    type: 'POST',
    data: {},
})
    .done(function (data) {
        console.log(data)
    })
    .fail(function (jqXHR) {
        console.log(jqXHR.responseText)
    })
    .always(function () {
    });

$.get / $.post / $.delete

$.post(url, {}, function (data) {
    console.log(data)
})
    .done(function (data) {
        console.log(data)
    })
    .fail(function (jqXHR) {
        console.log(jqXHR.responseText)
    })
    .always(function () {
    });

jqXHR 对象：

{
  "readyState": 4,
  "responseText": "友好的错误提示语",
  "status": 400,
  "statusText": "error"
}

下载 sqlmap：https://github.com/sqlmapproject/sqlmap

下载 python：https://www.python.org/downloads/

以 windows 版为例：

安装 python；

解压缩 sqlmap；

“在终端中打开 / 在命令行中打开” sqlmap.py 文件所在目录；

执行命令 

python sqlmap.py -u "网址" --data="POST数据" --tables

需要注意的是，sqlmap 会记录探测过的网址的结果信息，修复网站漏洞后要再次检测是否安全时，应删除缓存文件，位置在：

C:\Users\用户\AppData\Local\sqlmap\output\

参考资料：

使用 Mac 随附的 Mac 操作系统或兼容的更新版本

第一步，创建用户和 AccessKey

登录阿里云控制台后，从头像处进入 AccessKey 管理

“开始使用子用户 AccessKey”

点击“创建用户”，填写用户名（本文以 oss-bbs 为例），并勾选“Open API 调用访问”

点击确定创建成功，可以看到 AccessKey ID 和 AccessKey Secret

第二步，创建权限策略

在阿里云控制台左侧菜单“RAM 访问控制”中展开“权限管理”，选择“权限策略”

点击“创建权限策略”，切换到“脚本编辑”

输入以下策略文档（JSON 格式）

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "oss:ListBuckets",
                    "oss:GetBucketStat",
                    "oss:GetBucketInfo",
                    "oss:GetBucketAcl" 
                      ],    
            "Resource": "acs:oss:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                    "oss:Get*",
                    "oss:Put*",
                    "oss:List*",
                    "oss:DeleteObject"
                    ],
            "Resource": "acs:oss:*:*:bbs"
        },
        {
            "Effect": "Allow",
            "Action": [
                    "oss:Get*",
                    "oss:Put*",
                    "oss:List*",
                    "oss:DeleteObject"
            ],
            "Resource": "acs:oss:*:*:bbs/*"
        }
    ]
}

脚本中第一段表示允许用户登录，第二段表示允许操作 Bucket，第三段表示允许操作 Bucket 内的文件对象。

示例中的 bbs 是 Bucket Name，请修改为自己的 Bucket 名称。

点击下一步，填写名称，确定即可。

第三步，添加用户权限

转到“用户”页面，在刚才创建的用户行“添加权限”

切换到“自定义策略”，将上一步创建的权限策略添加到右侧“已选择”区

确定。

相关信息：

You have no right to access this object because of bucket acl.

首先，禁止网站下所有 .php 等文件均不允许被访问到。

在 nginx 网站配置文件中，include enable-php-**.conf; 上方插入：

location ~ ^/.*\.(php|php5|py|sh|bash|out)$ { deny all; }

其中，^ 匹配开始，/.* 匹配所有目录和文件名，\.(php|php5|py|sh|bash|out) 匹配文件后缀名，$ 匹配结束。

即便如此，仍然忽略了 nginx 中 .php 文件名后加斜杠仍然能访问到的情况，譬如我们访问这个网址：

https://xoyozo.net/phpinfo.php/abc.html

nginx 仍然运行了 phpinfo.php，给了后门可趁之机，所以改进为：

location ~ ^/.*\.(php|php5|py|sh|bash|out)(/.*)?$ { deny all; }

Discuz! X3.4 需要写入权限的目录：

• /自研目录/upload/

• /config/

• /data/

• /uc_client/data/

• /uc_server/data/

• /source/plugin/

但，这些都不重要，我们已经禁止了所有目录的 .php 访问了。

第二步，解禁需要直接被访问到的文件路径。

Discuz! X3.4 根目录下的 .php 文件都是入口文件，需要能够被访问到：

/admin.php
/api.php
/connect.php
/forum.php
/group.php
/home.php
/index.php
/member.php
/misc.php
/plugin.php
/portal.php
/search.php

其它目录中需要被直接访问到的文件：

/archiver/index.php
/m/index.php
/uc_server/admin.php
/uc_server/avatar.php
/uc_server/index.php

部分插件文件需要能够被直接访问到：

/source/plugin/magmobileapi/magmobileapi.php
/source/plugin/smstong/accountinfo.php
/source/plugin/smstong/checkenv.php

另外如果有自建目录需要有 .php 访问权限，那么也需要在此处加白，本文以 /_/ 目录为例

最终拼成：工具

location ~ ^(?:(?!(/admin\.php|/api\.php|/connect\.php|/forum\.php|/group\.php|/home\.php|/index\.php|/member\.php|/misc\.php|/plugin\.php|/portal\.php|/search\.php|/archiver/index\.php|/m/index\.php|/uc_server/admin\.php|/uc_server/avatar\.php|/uc_server/index\.php|/source/plugin/magmobileapi/magmobileapi\.php|/source/plugin/smstong/accountinfo\.php|/source/plugin/smstong/checkenv\.php|/_/.*\.php))/.*\.(php|php5|py|sh|bash|out)(/.*)?)$ { deny all; }

这里用到正则表达式中的“不捕获”和“负向零宽断言”语法，格式为：

^(?:(?!(允许的目录或文件A|允许的目录或文件B))禁止的目录和文件)$

值得注意的是，此句负向零宽断言中的匹配内容是匹配前缀的，也就是说

https://xoyozo.net/index.php
https://xoyozo.net/index.php/abc.html

都可以访问到，而

https://xoyozo.net/forbidden.php
https://xoyozo.net/forbidden.php/abc.html

都访问不到，这是符合需求的。

如果自建目录 /_/ 下有写入需求，单独禁止即可，以 /_/upload/ 为例：

location ~ ^/_/upload/.*\.(php|php5|py|sh|bash|out)(/.*)?$ { deny all; }

ThinkPHP 网站有统一的访问入口，可按本文方法配置访问权限。

特别注意：上面的代码必须加在 PHP 引用配置（include enable-php-**.conf;）的上方才有效。

附：一键生成 nginx 访问控制 location URI { } 语句工具

在 Windows 11 电脑为例，通过无线网络连接 Wifi 网络，该网络是由多台路由器通过 AP 的方式连接，查看电脑连接的是哪台路由器，首先打开设置 - 网络和 Internet

点击属性，可以看到当前连接的网络频带和网络通道

图中可见，当前使用 149 信道连接网络。

打开 Vistumbler，点击 Scan APs，可以看到附近所有的 Wifi 信号

图中红框标出的是使用了相同 SSD 和密码的 AP 路由器，其中，我的电脑连接的是 149 信道对应的路由器，根据 MAC 地址、生产厂商等信息就可以判断是哪一台路由器了。