All posts by 龙生

点击劫持漏洞:使用X-Frame-Options 解决方法（应用tomcat）

发现项目中存在 X-Frame-Options 低危漏洞：使用 X-Frame-Options X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 表示该页面可以在指定来源的 frame 中展示。换一句话说，如果设置为 DENY，不光在别人的网站 frame 嵌入时会无法加载，在同域名页面中同样会无法加载。另一方面，如果设置为 SAMEORIGIN，那么页面就可以在同域名页面的 frame 中嵌套。配置 Apache 配置 Apache 在所有页面上发送 X-Frame-Options 响应头，需要把下面这行添加到 'site' 的配置中:

1	Header always append X-Frame-Options SAMEORIGIN

配置 nginx 配置 nginx 发送 X-Frame-Options 响应头，把下面这行添加到 'http', 'server' 或者 'location' 的配置中:

1	add_header X-Frame-Options SAMEORIGIN;

配置 IIS 配置 IIS 发送 X-Frame-Options 响应头，添加下面的配置到 Web.config 文件中:

<system.webServer>

...

</customHeaders>

</httpProtocol>

...

</system.webServer>

配置 TOMCAT “点击劫持：X-Frame-Options未配置” 因为项目使用的是tomcat服务器，我们不可能在每个页面去添加：

1	response.addHeader("x-frame-options","SAMEORIGIN");

因此我们使用过滤器，代码如下：

1 2	HttpServletResponse response = (HttpServletResponse) sResponse; response.addHeader("x-frame-options","SAMEORIGIN");

通过以下配置，好像就没有在扫描出来该漏洞信息。你配不上自己的野心也辜负了所受的苦难 from:https://www.cnblogs.com/wdnnccey/p/6476518.html

龙生 02 Jul 2019

View Details

git清除本地账户

删除保存在本地的git账户

1	git credential-manager uninstall

缓存账户

1	git config --global credential.helper wincred

from:https://blog.csdn.net/big_sea_m/article/details/85341821

龙生 02 Jul 2019

View Details

Java Web项目漏洞：检测到目标URL存在http host头攻击漏洞解决办法

背景项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下：漏洞提示检测工具在检测出漏洞后给予的提示为：大意为不要使用request中的serverName，也就是说host header可能会在攻击时被篡改，依赖request的方法是不可靠的，形如JSP头部中的：

1 2	String path = request.getContextPath(); String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";

这样的使用方法就会被漏洞检测工具查出来，认定有头攻击漏洞。解决办法提示中说，如果是php的话不要用_SERVER[“HTTP_HOST”]，apache和Nginx通过设置虚拟机来纪要非法header，而web开发中常见的运行容器就是tomcat，网络查找出的解决方案大多不适用，最后，我们找到了一个折中的办法。主要解决办法，就是在请求拦截上面做host合法性校验，拦截掉非法请求。

public class SessionFilter implements Filter {

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,

ServletException {

HttpServletRequest request = (HttpServletRequest) req;

HttpServletResponse response = (HttpServletResponse) res;

// 头攻击检测

String requestHost = request.getHeader("host");

if (requestHost != null && !ServerWhiteListUtil.isWhite(requestHost)) {

response.setStatus(403);

return;

}

...

}

上述代码是常见的web系统拦截器doFilter方法，我们在方法开始的地方做host判定，如果不在白名单内，则返回403状态码。漏洞工具收到403后认为访问请求已被终止，就不会报错了。其中，ServerWhiteListUtil.isWhite(requestHost))方法：

package ...;

import java.io.InputStreamReader;

import java.util.List;

import com.google.gson.Gson;

import com.google.gson.reflect.TypeToken;

/**

* 服务器白名单列表

public class ServerWhiteListUtil {

private static List<String> whiteList = null;;

static {

try {

// 读取白名单列表

whiteList = new Gson().fromJson(

new InputStreamReader(ServerWhiteListUtil.class.getResourceAsStream("/serverWhiteList.json")),

new TypeToken<List<String>>() {

}.getType());

} catch (Exception e) {

e.printStackTrace();

}

/**

* 判断当前host是否在白名单内

* @param host 待查host

* @return boolean 是否在白名单内

public static boolean isWhite(String host) {

if (whiteList == null || whiteList.size() == 0) {

return true;

}

for (String str : whiteList) {

if (str != null && str.equals(host)) {

return true;

}

return false;

}

配置项serverWhiteList.json文件（放置在src根目录或resource配置目录，根据项目框架来定）：

[

"www.aaa.com:78",

"www.bbb.com:178"

]

from:https://blog.csdn.net/ahuyangdong/article/details/79091699

龙生 02 Jul 2019

View Details

Asp.Net Core连接多个数据库

1.首先要有对应的context实体类, 多个实体类的构造函数的参数都应该是集合

public class firstContext : DbContext

{

//多个数据库应该使用这个构造函数，参数是上下文的集合

public GalpOnlineContext(DbContextOptions<firstContext> options) : base(options)

{

}

//自定义DbContext实体属性名与数据库表对应名称（默认表名与属性名对应是 User与Users）

protected override void OnModelCreating(ModelBuilder modelBuilder)

{

modelBuilder.Entity<User>().ToTable("user");

modelBuilder.Entity<Project>().ToTable("project");

//相关表名称的和类的对应

base.OnModelCreating(modelBuilder);

}

public DbSet<User> User { get; set; }

//....

//第二种方法，重载父级的构造函数，和配置，这个只能是一个数据库时候的构造函数

public firstContext(DbContextOptions options) : base(options)

{

// Using the default constructor

}*/

}

2.在appsettings.json中进行配置数据库连接的信息

{

"Logging": {

"LogLevel": {

"Default": "Warning"

}

"ConnectionStrings": {

"firstContext": "Server=localhost;database=test;uid=root;pwd=123456;sslmode=none",

"secondContext": "Server=localhost;database=test2;uid=root;pwd=123456;sslmode=none"

3.在startup.cs文件中注册数据库上下文的信息

public void ConfigureServices(IServiceCollection services)

{

services.Configure<CookiePolicyOptions>(options =>

{

// options.CheckConsentNeeded = context => false;实现session,默认是true

options.CheckConsentNeeded = context => false;

options.MinimumSameSitePolicy = SameSiteMode.None;

});

//注册数据库的服务

string connectionString = Configuration.GetConnectionString("firstContext");

string connectionString2 = Configuration.GetConnectionString("secondContext");

services.AddDbContext<firstContext>(options => options.UseMySql(connectionString));

services.AddDbContext<secondContext>(options => options.UseMySql(connectionString2));

//注册session

services.AddDistributedMemoryCache();

services.AddSession(Options =>

{

Options.IdleTimeout = TimeSpan.FromSeconds(1000);

Options.Cookie.HttpOnly = true;

});

//services.AddMemoryCache();//使用本地缓存必须添加

//注册mvc服务

services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

}

然后就可以了，在使用的地方引入上下文就可以了

public class TestController : Controller

{

public readonly firstContext _context;

//构造函数，依赖注入数据库上下文就可以了

public TestController(firstContext context)

{

_context = context;

}

public ActionResult Index(string page)

{

List<Project> projects = _context.Project.ToList();

ViewBag.projects = projects;

return View();

}

from:https://www.cnblogs.com/xuqp/p/9707469.html

龙生 29 Jun 2019

View Details

Asp.Net Core 使用中间件拦截请求和返回数据，并对数据进行加密解密

GitHub demo https://github.com/zhanglilong23/Asp.NetCore.Demo 本项目使用中间件拦截请求数据，并对请求数据解密。访问接口成功后拦截返回数据，然后将返回数据加密后返回。其中log4net部分不再赘述（demo中有介绍）将Post方法中Body中的数据进行AES解密将返回数据进行AES加密 1：自定义中间件，并默认实现Invoke方法. 附带使用日志记录错误和访问时间等，写的比较糙。

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

public class HttpContextMiddleware

{

private readonly RequestDelegate _next;

private readonly ILogger _logger;

/// <summary>

/// 计时器

/// </summary>

private Stopwatch _stopwatch;

//加密解密key

private readonly string securitykey = "0123456789abcdef";

/// <summary>

/// 构造 Http 请求中间件

/// </summary>

/// <param name="next"></param>

/// <param name="loggerFactory"></param>

/// <param name="cacheService"></param>

public HttpContextMiddleware(RequestDelegate next, ILoggerFactory loggerFactory)

{

_next = next;

_logger = loggerFactory.CreateLogger<HttpContextMiddleware>();

}

/// <summary>

/// 1：将Post方法中Body中的数据进行AES解密

/// 2：将返回数据进行AES加密

/// </summary>

/// <param name="context"></param>

/// <returns></returns>

public async Task Invoke(HttpContext context)

{

context.Request.EnableBuffering();

_stopwatch = new Stopwatch();

_stopwatch.Start();

_logger.LogInformation($"Handling request: " + context.Request.Path);

var api = new ApiRequestInputViewModel

{

HttpType = context.Request.Method,

Query = context.Request.QueryString.Value,

RequestUrl = context.Request.Path,

RequestName = "",

RequestIP = context.Request.Host.Value

};

var request = context.Request.Body;

var response = context.Response.Body;

try

{

using (var newRequest = new MemoryStream())

{

//替换request流

context.Request.Body = newRequest;

using (var newResponse = new MemoryStream())

{

//替换response流

context.Response.Body = newResponse;

using (var reader = new StreamReader(request))

{

//读取原始请求流的内容

api.Body = await reader.ReadToEndAsync();

if (string.IsNullOrEmpty(api.Body))

await _next.Invoke(context);

//示例加密字符串，使用 AES-ECB-PKCS7 方式加密，密钥为：0123456789abcdef

// 加密参数：{"value":"哈哈哈"}

// 加密后数据： oedwSKGyfLX8ADtx2Z8k1Q7+pIoAkdqllaOngP4TvQ4=

api.Body = SecurityHelper.AESDecrypt(api.Body, securitykey);

}

using (var writer = new StreamWriter(newRequest))

{

await writer.WriteAsync(api.Body);

await writer.FlushAsync();

newRequest.Position = 0;

context.Request.Body = newRequest;

await _next(context);

}

using (var reader = new StreamReader(newResponse))

{

newResponse.Position = 0;

api.ResponseBody = await reader.ReadToEndAsync();

if (!string.IsNullOrWhiteSpace(api.ResponseBody))

{

api.ResponseBody = SecurityHelper.AESEncrypt(api.ResponseBody, securitykey);

}

using (var writer = new StreamWriter(response))

{

await writer.WriteAsync(api.ResponseBody);

await writer.FlushAsync();

}

catch (Exception ex)

{

_logger.LogError($" http中间件发生错误: " + ex.ToString());

}

finally

{

context.Request.Body = request;

context.Response.Body = response;

}

// 响应完成时存入缓存

context.Response.OnCompleted(() =>

{

_stopwatch.Stop();

api.ElapsedTime = _stopwatch.ElapsedMilliseconds;

_logger.LogDebug($"RequestLog:{DateTime.Now.ToString("yyyyMMddHHmmssfff") + (new Random()).Next(0, 10000)}-{api.ElapsedTime}ms", $"{JsonConvert.SerializeObject(api)}");

return Task.CompletedTask;

});

_logger.LogInformation($"Finished handling request.{_stopwatch.ElapsedMilliseconds}ms");

}

2：实现中间件扩展

public static class MiddlewareExtensions

{

public static IApplicationBuilder UseHttpContextMiddleware(this IApplicationBuilder builder)

{

return builder.UseMiddleware<HttpContextMiddleware>();

}

3:在Startup使用中间件

public void Configure(IApplicationBuilder app, IHostingEnvironment env,ILoggerFactory loggerFactory)

{

if (env.IsDevelopment())

{

app.UseDeveloperExceptionPage();

}

else

{

// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.

app.UseHsts();

}

app.UseHttpContextMiddleware(); //引入自定义的HtppContextMiddleware中间件

loggerFactory.AddLog4Net(); //引入log4net

app.UseHttpsRedirection();

app.UseMvc();

}

from:https://blog.csdn.net/a123_z/article/details/94011395

龙生 29 Jun 2019

View Details

.Net Core api 中获取应用程序物理路径wwwroot

如果要得到传统的ASP.Net应用程序中的相对路径或虚拟路径对应的服务器物理路径，只需要使用使用Server.MapPath()方法来取得Asp.Net根目录的物理路径，如下所示：

// Classic ASP.NET

public class HomeController : Controller

{

public ActionResult Index()

{

string physicalWebRootPath = Server.MapPath("~/");

return Content(physicalWebRootPath);

}

但是在ASPNET Core中不存在Server.MapPath()方法，Controller基类也没有Server属性。在Asp.Net Core中取得物理路径：从ASP.NET Core RC2开始，可以通过注入 IHostingEnvironment 服务对象来取得Web根目录和内容根目录的物理路径，如下所示：

using Microsoft.AspNetCore.Hosting;

using Microsoft.AspNetCore.Mvc;

namespace AspNetCorePathMapping

{

public class HomeController : Controller

{

private readonly IHostingEnvironment _hostingEnvironment;

public HomeController(IHostingEnvironment hostingEnvironment)

{

_hostingEnvironment = hostingEnvironment;

}

public ActionResult Index()

{

string webRootPath = _hostingEnvironment.WebRootPath; //F:\数据字典\Centa.Data.Dictionary\Centa.Data.Web\wwwroot

string contentRootPath = _hostingEnvironment.ContentRootPath; //F:\数据字典\Centa.Data.Dictionary\Centa.Data.Web

return Content(webRootPath + "\n" + contentRootPath);

}

ASP.NET Core RC1 在ASP.NET Core RC2之前（就是ASP.NET Core RC1或更低版本），通过 IApplicationEnvironment.ApplicationBasePath 来获取 Asp.Net Core应用程序的根目录(物理路径) ：

using Microsoft.AspNet.Mvc;

using Microsoft.Extensions.PlatformAbstractions;

namespace AspNetCorePathMapping

{

public class HomeController : Controller

{

private readonly IApplicationEnvironment _appEnvironment;

public HomeController(IApplicationEnvironment appEnvironment)

{

_appEnvironment = appEnvironment;

}

public ActionResult Index()

{

return Content(_appEnvironment.ApplicationBasePath);

}

from:https://www.cnblogs.com/gygtech/p/9909222.html

龙生 29 Jun 2019

View Details

springboot+thymeleaf后端设置全局变量前端js接收

公司旧的项目用play,新的项目改用springboot,前端同学问我,新的项目怎么拿baseUrl? 其实springboot+thymeleaf是可以做到的,我就贴个代码记录一下吧后端代码如下:

@Resource

private void configureThymeleafStaticVars(ThymeleafViewResolver viewResolver) {

if(viewResolver != null) {

Map<String, Object> vars = Maps.newHashMap();

vars.put("picUrl", env.getProperty("picUrl"));

vars.put("baseUrl", env.getProperty("baseUrl"));

viewResolver.setStaticVariables(vars);

}

只要放在spring能扫描到的地方就可以了. 不过这里有个问题,一般来说,这些地址都是通过properties文件,或者yml文件,分环境配置的,要拿配置文件的值,我第一时间就想用@value,但是由于加载顺序的关系,@value加载在后面,所以这里就不能用@value了,用environment

1 2	@Resource private Environment env;

然后到前端的代码: 把这段代码放到header.html,统一加载就行了

const baseUrl = '[(${baseUrl})]';

const picUrl = '[(${picUrl})]';

</script>

from:https://blog.csdn.net/bear_lam/article/details/80278590

龙生 28 Jun 2019

View Details

SpringBoot2.x过后static下的静态资源无法访问

package com.example.thymeleaf.commons;

import org.springframework.stereotype.Component;

import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**

* 配置静态资源映射

* @author sunziwen

* @version 1.0

* @date 2018-11-16 14:57

**/

@Component

public class WebMvcConfig implements WebMvcConfigurer {

/**

* 添加静态资源文件，外部可以直接访问地址

* @param registry

@Override

public void addResourceHandlers(ResourceHandlerRegistry registry) {

registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");

}

from:https://blog.csdn.net/wenxingchen/article/details/84139845

龙生 28 Jun 2019

View Details

spring boot web程序将static public 资源文件放到jar外部

目录 spring boot程序的static目录默认资源路径源码 application.yml增加配置 spring boot程序的static目录默认资源路径源码

<code class="prism language-java has-numbering">private static final String[] CLASSPATH_RESOURCE_LOCATIONS = {

"classpath:/META-INF/resources/", "classpath:/resources/",

"classpath:/static/", "classpath:/public/" };

可以看到springboot默认加载资源的路径是在calsspath下，这样jar打包的web项目资源文件只能放在jar内。这样修改和维护起来非常不方便。参考官方文档，static资源也可以放在jar包外部，只要在配置文件中增加static-locations: 就可以直接在配置文件中覆盖默认的静态资源路径的配置信息 application.yml增加配置

spring:

resources:

#web静态页面路径

# static-locations: file:///E:/workspace/demo/target/demo/static/,file:///E:/workspace/demo/target/demo/public/

#当前启动目录下相对路径

static-locations: file:./static/,file:./public/

from:https://blog.csdn.net/u014155356/article/details/82862683

龙生 28 Jun 2019

View Details

Thymeleaf入门（一）——入门与基本概述

一、概述 1.是什么简单说， Thymeleaf 是一个跟 Velocity、FreeMarker 类似的模板引擎，它可以完全替代 JSP 。 2.feature 1.Thymeleaf 在有网络和无网络的环境下皆可运行，即它可以让美工在浏览器查看页面的静态效果，也可以让程序员在服务器查看带数据的动态页面效果。这是由于它支持 html 原型，然后在 html 标签里增加额外的属性来达到模板+数据的展示方式。浏览器解释 html 时会忽略未定义的标签属性，所以 thymeleaf 的模板可以静态地运行；当有数据返回到页面时，Thymeleaf 标签会动态地替换掉静态内容，使页面动态显示。 2.Thymeleaf 开箱即用的特性。它提供标准和spring标准两种方言，可以直接套用模板实现JSTL、 OGNL表达式效果，避免每天套模板、该jstl、改标签的困扰。同时开发人员也可以扩展和创建自定义的方言。 3. Thymeleaf 提供spring标准方言和一个与 SpringMVC 完美集成的可选模块，可以快速的实现表单绑定、属性编辑器、国际化等功能。 3.文档官方教程：http://www.thymeleaf.org/doc/tutorials/2.1/usingthymeleaf.html#what-is-thymeleaf 推荐教程：http://blog.didispace.com/springbootweb/ http://blog.csdn.net/u012706811/article/details/52185345 二、HelloWorld 1.引入依赖 springboot直接引入：

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-thymeleaf</artifactId>

</dependency>

非springboot项目使用如下依赖：

<groupId>org.thymeleaf</groupId>

<artifactId>thymeleaf</artifactId>

</dependency>

默认的模板映射路径是：src/main/resources/templates，springboot1.4之后，可以使用thymeleaf3来提高效率，并且解决标签闭合问题，配置方式：

<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>

<thymeleaf.version>3.0.0.RELEASE</thymeleaf.version>

<thymeleaf-layout-dialect.version>2.0.0</thymeleaf-layout-dialect.version>

<java.version>1.8</java.version>

</properties>

之前的model/modelMap/modelAndView等页面数据传递参考之前随笔：点击查看快速回顾：

package com.learndemo.controller;

import java.util.HashMap;

import java.util.Map;

import org.springframework.stereotype.Controller;

import org.springframework.ui.Model;

import org.springframework.ui.ModelMap;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.servlet.ModelAndView;

@Controller

@RequestMapping(value = "/return")

public class LearnReturnType {

/**

* Model本身不能设置页面跳转的url地址别名或者物理跳转地址，那么我们可以通过控制器方法的返回值来设置跳转url

* 地址别名或者物理跳转地址

* @param model

* 一个接口，其实现类为ExtendedModelMap，继承了ModelMap类

* @return 跳转url地址别名或者物理跳转地址

@RequestMapping(value = "/index1")

public String index1(Model model) {

model.addAttribute("result", "后台返回index1");

return "result";

}

/**

* ModelMap对象主要用于传递控制方法处理数据到结果页面,类似于request对象的setAttribute方法的作用。用法等同于Model

* @param model

* @return 跳转url地址别名或者物理跳转地址

@RequestMapping(value = "/index2")

public String index2(ModelMap model) {

model.addAttribute("result", "后台返回index2");

return "result";

}

/**

* ModelAndView主要有两个作用设置转向地址和传递控制方法处理结果数据到结果页面

* @return 返回一个模板视图对象

@RequestMapping(value = "/index3")

public ModelAndView index3() {

ModelAndView mv = new ModelAndView("result");

// ModelAndView mv = new ModelAndView();

// mv.setViewName("result");

mv.addObject("result", "后台返回index3");

return mv;

}

/**

* map用来存储递控制方法处理结果数据，通过ModelAndView方法返回。

* 当然Model,ModelMap也可以通过这种方法返回

* @return 返回一个模板视图对象

@RequestMapping(value = "/index4")

public ModelAndView index4() {

Map<String, String> map = new HashMap<String, String>();

map.put("result", "后台返回index4");

return new ModelAndView("result", map);

}

2.配置thymeleaf视图解析器这点与springMVC是相类似的：

#thymeleaf start

spring.thymeleaf.mode=HTML5

spring.thymeleaf.encoding=UTF-8

spring.thymeleaf.content-type=text/html

#开发时关闭缓存,不然没法看到实时页面

spring.thymeleaf.cache=false

#thymeleaf end

实际项目中可能会有不太严格的HTML格式，此时设置mode=HTML5将会对非严格的报错，可以参考以下配置：

1	spring.thymeleaf.mode=LEGACYHTML5

你可能会发现在默认配置下，thymeleaf对.html的内容要求很严格，比如<meta charset="UTF-8" />，

如果少最后的标签封闭符号/，就会报错而转到错误页。也比如你在使用Vue.js这样的库，然后有<div v-cloak></div>这样的html代码，

也会被thymeleaf认为不符合要求而抛出错误。

因此，建议增加下面这段：

spring.thymeleaf.mode = LEGACYHTML5

spring.thymeleaf.mode的默认值是HTML5，其实是一个很严格的检查，改为LEGACYHTML5可以得到一个可能更友好亲切的格式要求。

需要注意的是，LEGACYHTML5需要搭配一个额外的库NekoHTML才可用。

<dependency> <groupId>net.sourceforge.nekohtml</groupId> <artifactId>nekohtml</artifactId> <version>1.9.22</version> </dependency>

1	最后重启项目就可以感受到不那么严格的thymeleaf了。

这样，需要的配置项如下：

# 一项是非严格的HTML检查，一项是禁用缓存来获取实时页面数据，其他采用默认项即可

thymeleaf:

mode: LEGACYHTML5

cache: false

// 完整配置项参考类ThymeleafProperties 3.编写控制器

/**

* 测试demo的controller

* @author zcc ON 2018/2/8

**/

@Controller

public class HelloController {

private static final Logger log = LoggerFactory.getLogger(HelloController.class);

@GetMapping(value = "/hello")

public String hello(Model model) {

String name = "jiangbei";

model.addAttribute("name", name);

return "hello";

}

4.编写模板html

<!DOCTYPE HTML>

<head>

<title>hello</title>

</head>

<body>

3333

</body>

</html>

其中，注释是通过alt+enter进行自动生成的，便于IDEA补全，如果不加，IDEA将会报错cannot reslove。当然也可以通过如下方式解决，解决之前推荐在maven项目中reimport一下！（据说新版本的IDEA中已经修复此问题，待更新至2017.3以后） 5.测试三、基础语法 1.创建HTML 由上文也可以知道需要在html中添加：

1	<html xmlns:th="http://www.thymeleaf.org">

这样，下文才能正确使用th:*形式的标签！ 2.获取变量值${…} 通过${…}进行取值，这点和ONGL表达式语法一致！

1 2	<!--/@thymesVar id="name" type="java.lang.String"/--> <p th:text="'Hello！, ' + ${name} + '!'">3333</p>

选择变量表达式*{…}

Name: Sebastian.

Surname: Pepper.

Nationality: Saturn.

</div>

等价于

<div>

Name: Sebastian.

Surname: Pepper.

Nationality: Saturn.

</div>

至于p里面的原有的值只是为了给前端开发时做展示用的.这样的话很好的做到了前后端分离。这也是Thymeleaf非常好的一个特性：在无网络的情况下也能运行，也就是完全可以前端先写出页面，模拟数据展现效果，后端人员再拿此模板修改即可！ 3.链接表达式: […]

龙生 26 Jun 2019

View Details

« Previous 1 … 152 153 154 … 410 Next »