跨站点脚本(xss)_安全性:防止跨站点脚本(XSS)
跨站点脚本(xss)
Cross-site scripting is one of the most common and popular web attacks.
跨站点脚本是最常见和流行的Web攻击之一。
It allows an attacker to inject client-side code into web applications screens that are then viewed by the victims.
它允许攻击者将客户端代码注入Web应用程序屏幕,然后由受害者查看。
Consequences and impact can vary depending on the type of attacks and context in which the attack is launched.
后果和影响可能会有所不同,具体取决于攻击的类型和发起攻击的环境。
XSS can be classified as:
XSS可以分类为:
- Self-XSS / Reflected XSS / Non-persistent XSS / Type-II XSS 自XSS /反射XSS /非持久XSS / II型XSS
- Persistent XSS / Stored XSS / Type-I XSS 永久XSS /已存储XSS / I型XSS
- DOM based XSS 基于DOM的XSS
自我XSS (Self-XSS)
Let’s suppose we have the following PHP code - PHP just to pick (a legible) one:
假设我们有以下PHP代码-PHP仅是选择(清晰)的一个:
Textbook XSS: The victim opens a link that looks like
XSS教科书:受害者打开一个看起来像的链接
GET https://my-website.com/page.php?id=%22%3B%20alert(1)%3B%20var%20a%20%3D%20%22(GET https://my-website.com/page.php?id=”; alert(1); var a = “)and, magically, the code above, after being rendered by PHP and sent to the victims browser, will look like
神奇的是,上面的代码在被PHP渲染并发送到受害者浏览器后,看起来像
In this case we’re just opening a popup and displaying “1” inside of it, but an attacker could get much more creative: he could make an AJAX call and send document.cookie to his server (provided the application didn’t set a HTTP-Only flag to the session cookie).
在这种情况下,我们只是打开一个弹出窗口并在其中显示“ 1”,但是攻击者可能会更有创造力:他可以发起AJAX调用并将document.cookie发送到他的服务器(只要应用程序未设置会话cookie的仅HTTP标志)。
It’s called reflected XSS since you’re sending a malicious request and getting some malicious response back.Bear in mind: the victim would need to open a maliciously crafted link (which could also be shortened using third party link shortners sites)
由于您正在发送恶意请求并获得一些恶意响应,因此将其称为“反射XSS”。请注意:受害者需要打开恶意制作的链接(也可以使用第三方链接缩短程序站点来缩短链接)
持久XSS (Persistent XSS)
Similar to a Self-XSS, but different workflow: the $id in this case has been stored into a database (or other persistent storage) and then read from it at a later time by the victim(s).
与Self-XSS相似,但工作流程不同:在这种情况下,$ id已存储到数据库(或其他持久性存储)中,并在以后由受害者从中读取。
A classic example here would be a platform that allows users to post content that is then displayed to other users (i.e. Medium): an attacker would be able to write some JS into a post and any user reading that post would automatically (perhaps silently) run the malicious JS code.
这里的经典示例是一个平台,该平台允许用户发布随后显示给其他用户的内容(即中型):攻击者将能够在帖子中编写一些JS,而任何阅读该帖子的用户将自动(也许默默地)运行恶意的JS代码。
You can see how that can go very wrong very quickly, making persistent XSS a much more dangerous sub-category of this sort of attack.
你可以看到如何可以去非常错误的速度非常快,使得持续性XSS这种攻击的一个更加危险的子类。
基于DOM的XSS (DOM based XSS)
Firstly described by Amit Klein in 2005, DOM based XSS is less known variant and occurs whenever the XSS is a direct result of modifying the DOM context in which the regular client-side code runs, so that the execution results in an “unexpected” behaviour.
基于DOM的XSS最早由Amit Klein于2005年描述,它是鲜为人知的变体,每当XSS是修改运行常规客户端代码的DOM上下文的直接结果时,就会发生这种情况,因此执行将导致“意外”行为。
Normally this HTML page would be used for welcoming the user:
通常,此HTML页面将用于欢迎用户:
GET http://my-website.example.com/welcome.html?name=Michelehowever a request such as:
但是,诸如以下的请求:
GET http://my-website.example.com/welcome.html?name=<script>alert(document.cookie)</script>would result in an XSS condition.
将导致XSS条件。
Again - you could escalate this: send the cookies to a malicious server - potentially holding session info (i.e. session cookie) and take over an account.
再次-您可以升级:将cookie发送到恶意服务器-可能持有会话信息(即会话cookie)并接管一个帐户。
At the core, an XSS vulnerability is present whenever an application accepts untrusted (anything the application receives from the outside — usually user input data) data and displays it without correctly escaping it depending on its context.
从根本上讲, 每当应用程序接受不受信任的数据 (应用程序从外部接收的任何数据,通常是用户输入数据) 并显示数据时 ,都会出现XSS漏洞,而不会根据其上下文正确地转义数据 。
Context is a fundamental word in that sentence and that is also why an XSS isn’t much different from a SQL or XML/HTML injection.
上下文是该语句中的一个基本词,这也是为什么XSS与SQL或XML / HTML注入没有太大区别的原因。
攻击者可以做什么? (What can an attacker do?)
Generally speaking, if an attacker manges to perform an XSS attack, he could be able to basically do one or more of the following:
一般而言,如果攻击者设法执行XSS攻击,则他基本上可以执行以下一项或多项操作:
Ad-Jacking — Inject his ads in it to make moneyClick-Jacking — Create a hidden overlay on a page to hijack clicks of the victim to perform malicious actions.Session Hijacking — HTTP cookies can be accessed by JavaScript if the HTTP ONLY flag is not present in the cookies.Content Spoofing — JavaScript has full access to client side code of a web app and hence he could use it show/modify desired content.Credential Harvesting — He could use a fancy popup to harvest credentials: WiFi firmware has been updated, re-enter your credentials to authenticate.Forced Downloads — So the victim isn’t downloading his malicious flash player from absolutely-safe.com? No problem: he could just try to force a download from the trusted website the victim is visiting.Crypto Mining — He could use the victim’s CPU to mine some bitcoin (or altcoin)Bypassing CSRF protection — He could collect and submit CSRF tokens to perform POST operations elsewhere on the site.Keylogging — Self-explanatoryRecording Audio, Taking pictures, Geo-location — It requires authorization from the user but he could access victim’s camera, microphone and location. Thanks to HTML5 and JavaScript.Stealing HTML5 web storage data — A website can store data in the browser for later use and, of course, JavaScript can access that storage via window.localStorage() and window.webStorage()Fingerprinting — Very easy to find your browser name, version, installed plugins and their versions, your operating system, architecture, system time, language and screen resolution.Network Scanning — Victim’s browser can be abused to scan ports and hosts with Javascript.Crashing Browsers — Why not?! :-)Stealing Information — Grab information from the webpage and send it to his malicious server.Redirecting —Self-explanatoryTabnapping — Fancy version of redirection: when no keyboard or mouse events have been received for more than a minute, it could mean that the user is afk and he can sneakily replace the current webpage with a fake one.Capturing Screenshots — Thanks to HTML5 again, now you can take screenshot of a webpage. Blind XSS detection tools have been doing this before it was cool.Perform Actions — He is controlling the browser
顶广告-在其中注入广告以赚钱。 顶广告 -在页面上创建隐藏的叠加层,以劫持受害者的点击以执行恶意操作。 会话劫持 —如果Cookie中没有HTTP ONLY标志,则JavaScript可以访问HTTP cookie。 内容欺骗-JavaScript可以完全访问Web应用程序的客户端代码,因此他可以使用它显示/修改所需的内容。 凭据收集 -他可以使用精美的弹出窗口来获取凭据:WiFi固件已更新,请重新输入凭据进行身份验证。 强制下载 -受害者是否没有从absolute-safe.com下载其恶意Flash Player? 没问题:他可以尝试强迫受害者访问的受信任网站进行下载。 加密采矿 -他可以使用受害者的CPU来挖掘某些比特币(或山寨币),从而绕过CSRF保护 -他可以收集并提交CSRF令牌,以执行站点上其他位置的POST操作。 键盘 记录 -自解释式录音,拍照,地理位置定位 -需要用户授权,但他可以访问受害者的摄像头,麦克风和位置。 感谢HTML5和JavaScript。 窃取HTML5 Web存储数据 -网站可以将数据存储在浏览器中以供以后使用,当然,JavaScript可以通过window.localStorage()和window.webStorage()访问该存储。 指纹识别 -非常容易找到您的浏览器名称,版本,已安装的插件及其版本,您的操作系统,体系结构,系统时间,语言和屏幕分辨率。 网络扫描 -可以滥用受害者的浏览器来使用Java扫描端口和主机。 崩溃的浏览器 -为什么不呢? :-) 窃取信息 -从网页中获取信息,并将其发送到他的恶意服务器。 重定向 -不言自明的跳转 - 精美的重定向版本:当超过一分钟未收到键盘或鼠标事件时,这可能意味着用户很烦,他可以用伪造的网页来轻松地替换当前网页。 捕获屏幕截图 -再次感谢HTML5,现在您可以获取网页的屏幕截图。 盲XSS检测工具一直在这样做,然后才变酷。 执行动作 -他正在控制浏览器
Not all is lost, cross-site scripting can be prevented!
并非全部丢失,可以防止跨站点脚本编写!
该怎么办? (What can be done?)
Unfortunately there’s no silver bullet. You could be:
不幸的是,没有灵丹妙药。 你可能是:
- using a Web Application Firewall (and hope for the best: they can block some/most common attacks but not all) 使用Web应用程序防火墙(并希望最好:他们可以阻止某些/最常见的攻击,但不能阻止所有攻击)
using X-XSS-PROTECTION that stops pages from loading when the browser detects reflected cross-site scripting (deprecated IE feature)
使用X-XSS-PROTECTION可以在浏览器检测到反映的跨站点脚本(停止使用IE功能)时停止加载页面
using Content Security Policy, X-FRAME-OPTIONS, (etc..) headers to limit impact
使用Content Security Policy , X-FRAME-OPTIONS等标题来限制影响
but again, none of the above (or a combination) are solutions to the actual problem. If anything they might give you a false sense of security.
但是,以上(或两者结合)都不是解决实际问题的方法。 如果有的话,它们可能会给您带来虚假的安全感。
The real solution is to write non vulnerable code 😃.
真正的解决方案是编写非脆弱代码😃。
As said earlier:
如前所述:
At the core, an XSS vulnerability is present whenever an application accepts untrusted (anything the application receives from the outside — usually user input data) data and displays it without correctly escaping it depending on its context.
从根本上讲, 每当应用程序接受不受信任的数据 (应用程序从外部接收的任何数据,通常是用户输入数据) 并显示数据时 ,都会出现XSS漏洞,而不会根据其上下文正确地转义数据 。
So, the solution is to correctly escape content based on the context they are live in: in a generic HTML context <,> have special meanings so they should be coverted into their HTML code equivalents (<>); in a HTML attribute context, instead, double quotes (or single quotes) have a special meaning so they should be converted into their HTML code equivalents ("), etc…
因此,解决方案是根据内容所处的上下文正确地对内容进行转义:在一般HTML上下文中,<,>具有特殊含义,因此应将其隐藏在等效HTML代码中(&lt;&gt;); 相反,在HTML属性上下文中,双引号(或单引号)具有特殊含义,因此应将其转换为HTML代码等效项(“”),依此类推…
In Javascript, instead, depending on the specific area in which the untrusted input is injected, it can be a bit trickier to understand what characters have special meaning - so, in that instance, it’s easier to escape all non-alphanumeric characters with their hex equivalent (i.e. double quote becomes \x22, $ becomes \x24, etc…).
相反,在Javascript中,根据注入不受信任的输入的特定区域,了解具有特殊含义的字符可能会有些棘手-因此,在这种情况下,使用十六进制转义所有非字母数字字符会更容易等价的(即双引号变成\ x22,$变成\ x24,依此类推)。
Don’t roll your own security: you should instead rely on whatever your language-of-choice / framework provides for this.
不要自己承担安全性:您应该依靠自己的选择语言/框架提供的一切。
I’ll try and list a few per language.
我会尝试列出每种语言的几种。
Is your language/framework not in this list?Feel free to leave a comment / recommendations and I’ll amend the list!
您的语言/架构不在此列表中吗?请随时发表评论/建议,我将对其进行修改!
Sharing is caring, eh? 😄
分享很贴心,是吗? 😄
Since you’re interested in security and common vulnerabilities, you may also want to read about SQL injections and how to prevent them in your application.
小号因斯你感兴趣的安全性和常见漏洞,你可能还需要了解SQL注入以及如何防止他们在您的应用程序 。
本机— C#(ASP.NET) (Native — C# (ASP.NET))
The Razor engine used in MVC automatically encodes all output sourced from variables. You could also use JavaScriptEncoder to encode variables in Javascript context.
MVC中使用的Razor引擎会自动对所有源自变量的输出进行编码。 您还可以使用JavaScriptEncoder在Javascript上下文中对变量进行编码。
本机— Go(Golang) (Native — Go (Golang))
golang.org/pkg/html#EscapeString escapes special characters (<>&’ ”) to their HTML code equivalents
golang.org/pkg/html#EscapeString将特殊字符(<>&' )转义为等效HTML代码
golang.org/pkg/html/template gives you more control and better escaping functionality for CSS/JS/HTML.
golang.org/pkg/html/template为CSS / JS / HTML提供了更多控制权和更好的转义功能。
本机— Java (Native — Java)
OWASP provides AntiSamy (an API for ensuring user-supplied HTML/CSS is in compliance within an application’s rule)
OWASP提供AntiSamy (用于确保用户提供HTML / CSS符合应用程序规则的API)
OWASP also provides Java-HTML-Sanitizer that pretty much does the same thing but in a different way. HTML-Sanitizer is fast and simpler to use but less flexible.
OWASP还提供Java-HTML-Sanitizer ,它几乎可以做同样的事情,但方式不同。 HTML-Sanitizer快速,易于使用,但灵活性较差。
OWASP also used to provide ESAPI but that’s now a defunct project.
OWASP也曾经提供过ESAPI,但是现在这已经是一个不可行的项目了。
本机— PHP (Native — PHP)
htmlentities will convert all applicable characters to HTML entities, but that’s not the best way to prevent XSS.
htmlentities将所有适用的字符转换为HTML实体,但这不是防止XSS的最佳方法。
HTMLPurifier will by default strip malicious code, but you can configure it to escape it instead.
HTMLPurifier默认情况下会剥离恶意代码,但您可以对其进行配置以转义它。
本机— Python (Native — Python)
The html package allows you to convert &<> (and “ ‘ if requested) to their HTML-code equivalents.
html包允许您将&<>(和“”(如果要求))转换为其等效HTML代码。
角2,3,4,5,6,7,8,9 — JS (Angular 2,3,4,5,6,7,8,9 — JS)
Angular treats all values as untrusted by default. When a value is inserted into the DOM from a template, via property, attribute, style, class binding, or interpolation, Angular sanitizes and escapes untrusted values.
默认情况下,Angular将所有值视为不可信。 当通过属性,属性,样式,类绑定或插值将值从模板插入DOM时,Angular会清理并转义不受信任的值。
Django-Python (Django — Python)
If you use Django templates you are protected against the majority of XSS attacks. However, it’s not foolproof: Django templates escape specific characters which are particularly dangerous to HTML but it won’t protect you from HTML attribute based attacks for instance.
如果使用Django模板,则可以防止大多数XSS攻击。 但是,这并非万无一失: Django模板会转义特定字符 ,这对于HTML来说尤其危险,但是它不能保护您免受基于HTML属性的攻击。
烧瓶-Python (Flask — Python)
Flask configures Jinja2 to automatically escape all values by default.
Flask 将Jinja2配置为默认情况下自动转义所有值 。
Laravel-PHP (Laravel — PHP)
In Laravel ≥5 , the default {{ }} should escape all output
在Laravel≥5中,默认{{}}应该转义所有输出
React — JS (React — JS)
React automatically escapes variables for you, but there are a few gotchas. More about that here.
React自动为您转义变量,但有一些陷阱。 更多关于这里 。
Symfony-PHP (Symfony — PHP)
Symfony applications are safe by default because they perform automatic output escaping
默认情况下,Symfony应用程序是安全的,因为它们执行自动输出转义
翻译自: https://medium.com/bugbountywriteup/injection-vulnerabilities-cross-site-scripting-xss-7fd9dc28cc47
跨站点脚本(xss)
如若内容造成侵权/违法违规/事实不符,请联系编程学习网邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
相关文章
- 使用Angular和MongoDB创建博客应用程序:显示帖子
在本系列教程的最后一部分 ,您了解了如何编写用于用户登录的REST API端点。 您使用Mongoose从Node与MongoDB进行了交互。 成功验证之后,您将看到如何使用Angular Router导航到HomeComponent 。 在本系列教程的这一部分中,您将创建一个组件&a…...
2024/4/16 18:40:59 - 在Dockerized环境中应用Angular运行时配置
随着向云优先的转变以及托管基础架构和业务流程(例如EWS,Azure AKS或GCP群集)的兴起,应用程序环境需要进行准备和调整以适应新出现的需求。 这不是什么新鲜事,也不是未知数,但是承认这一事实是第一步&#…...
2024/4/12 16:07:01 - vue,react,angular都在用的commit规范,了解一下?
截图来自vue的PR: 1.commit-message规范必要性 统一格式的提交记录,更清晰和易读 可以通过提交记录来了解本次提交的目的,更好的CR和重构 更容易了解变更,定位和发现问题 每个提交描述都是经过思考的,改善提交质量 直接生成Ch…...
2024/4/12 16:07:01 - 使用Angular和MongoDB创建博客应用:添加帖子
在Angular博客教程系列的上一部分中,您学习了如何创建ShowPostComponent来在主页上显示博客文章列表。 您使用创建的REST API端点获取了从MongoDB Shell中插入的记录。 在本教程中,您将创建一个名为AddPostComponent的新组件,以提供用于将新…...
2024/4/16 0:06:04 - 【Linux搭建专题】Shell基本语法
Shell——前言 创建目录 mkdir /app mkair /app/test cd /app/test创建文件 vim test01.sh输入并保存脚本 echo "${JAVA_HOME}"赋予执行权限 chmod 777 test01.sh执行 sh test01.shShell——(核心)变量 readonly myUrl unset variable_…...
2024/4/13 15:40:58 - AngularJS 官方案例:angular-phonecat
官方案例-angular-phonecat angularJS官方提供了一个官方案例给大家进行循序渐进的学习,但是如果之前没有接触过node.js以及git的同学这个案例拿着也无从下手…这里就介绍一下怎么打开这个案例吧 准备工作: 1.Git 2.nodejs 3.npm 4.bower 5.http-server 如果需要成功的…...
2024/4/12 16:07:16 - 动态调用动态库的方法
登录 | 注册 罗马非一日建成 能成功的人多少都有一份坚持~~ 目录视图摘要视图订阅 动态调用动态库方法 | from web 标签: dll编译器classwinapilibrarynull2011-11-10 21:01 684人阅读 评论(0) 收藏 举报分类:c/c(26) 目录(?)[] …...
2024/4/14 15:29:16 - 使用shell脚本和node命令行工具来自动化部署打包前端项目
本文主要介绍shell脚本的一些基本用法以及在前端项目中的应用。将围绕以下几点来展开:shell基本用法(变量,循环,传参,运算符,流程控制等)使用shell脚本自动将项目打包部署到git服务器使用nodeJs…...
2024/4/12 16:06:51 - 南京那家双眼皮开得好
...
2024/4/5 22:35:25 - 我很喜欢研究这些比较酷的效果
jquery简洁的响应式导航下拉菜单代码https://www.mk2048.com/demo/demo_target_desc.php?idia0bjhjkjjquery简洁响应式导航菜单代码jQuery css3扑克洗牌和扑克牌翻转效果代码https://www.mk2048.com/demo/demo_target_desc.php?idia0j0ikaajQuery css3扑克洗牌,扑…...
2024/4/18 14:32:11 - 润乾报表与 ActiveReport JS 功能对比
简介 润乾报表是用于报表制作的大型企业级报表软件,核心特点在于开创性地提出了非线性报表数学模型,采用了革命性的多源关联分片、不规则分组、自由格间运算、行列对称等技术,使得复杂报表的设计简单化,以往难以实现的报表可以轻…...
2024/4/12 16:06:56 - 南京割双眼皮医院-来找美来
...
2024/4/17 14:48:02 - 南京割双眼皮医院 优选美来
...
2024/4/17 4:51:32 - 在北京割割的双眼皮特别小
...
2024/4/12 20:18:33 - React 首页加载慢的问题性能优化(实际操作)
学习了一段时间React,想真实的实践一下。于是便把我的个人博客网站进行了重构。花了大概一周多时间,网站倒是重构的比较成功,但是一上线啊,那个访问速度啊,是真心慢,慢到自己都不能忍受,那么小一…...
2024/4/5 22:35:19 - 杭州做割双眼皮大概费用
...
2024/4/12 16:07:52 - 南京有多少家医院割双眼皮一个月埋了三次线
...
2024/4/12 16:08:17 - 仿着锤子科技官网进行的一个angular4.0项目~~~
关于项目 关于angular4的一个项目,仿着锤子科技的官网写的,项目功能还没完全实现 代码我放在了GitHub上 biubiubiu传送门,在myTests仓库里,欢迎指正和交流,这个截的动图有点一言难尽。。。卡顿,有没有好的…...
2024/4/5 22:35:15 - 双眼皮割了后 后期为什么会变窄
...
2024/4/18 8:22:12 - 双眼皮修复哪种好7优到刘风卓
...
2024/4/17 4:51:31
最新文章
- 水电预付费远程管理
1.概述:水电预付费远程管理的定义与重要性 水电预付费远程管理系统是一种先进的能源管理模式,它允许用户在使用水电资源前预先支付费用,并通过远程技术进行实时监控和管理。这种系统不仅提高了效率,减少了欠费风险,也…...
2024/4/18 16:08:13 - 梯度消失和梯度爆炸的一些处理方法
在这里是记录一下梯度消失或梯度爆炸的一些处理技巧。全当学习总结了如有错误还请留言,在此感激不尽。 权重和梯度的更新公式如下: w w − η ⋅ ∇ w w w - \eta \cdot \nabla w ww−η⋅∇w 个人通俗的理解梯度消失就是网络模型在反向求导的时候出…...
2024/3/20 10:50:27 - MyBatis实战:如何将拼接的SQL打印到日志
哈喽,大家好,我是木头左! 一、前言 在日常开发中,经常会遇到拼接SQL的情况,这时候,如何将拼接的SQL打印到日志,以便追踪和调试呢?本文将详细介绍MyBatis如何实现这一功能。 二、My…...
2024/4/18 7:45:16 - xv6项目开源—05
xv6项目开源—05.md 理论: 1、设备驱动程序在两种环境中执行代码:上半部分在进程的内核线程中运行,下半部分在中断时执行。上半部分通过系统调用进行调用,如希望设备执行I/O操作的read和write。这段代码可能会要求硬件执行操作&…...
2024/4/18 10:53:48 - datalist是什么,有什么作用?
<datalist>标签用于定义一个预定义选项列表,它可以与文本输入框(<input type"text">)一起使用,提供一组可选的值供用户选择或输入。<datalist>标签中的选项可以通过<option>标签来定义。 <…...
2024/4/16 21:05:14 - 【外汇早评】美通胀数据走低,美元调整
原标题:【外汇早评】美通胀数据走低,美元调整昨日美国方面公布了新一期的核心PCE物价指数数据,同比增长1.6%,低于前值和预期值的1.7%,距离美联储的通胀目标2%继续走低,通胀压力较低,且此前美国一季度GDP初值中的消费部分下滑明显,因此市场对美联储后续更可能降息的政策…...
2024/4/18 0:33:31 - 【原油贵金属周评】原油多头拥挤,价格调整
原标题:【原油贵金属周评】原油多头拥挤,价格调整本周国际劳动节,我们喜迎四天假期,但是整个金融市场确实流动性充沛,大事频发,各个商品波动剧烈。美国方面,在本周四凌晨公布5月份的利率决议和新闻发布会,维持联邦基金利率在2.25%-2.50%不变,符合市场预期。同时美联储…...
2024/4/17 20:29:59 - 【外汇周评】靓丽非农不及疲软通胀影响
原标题:【外汇周评】靓丽非农不及疲软通胀影响在刚结束的周五,美国方面公布了新一期的非农就业数据,大幅好于前值和预期,新增就业重新回到20万以上。具体数据: 美国4月非农就业人口变动 26.3万人,预期 19万人,前值 19.6万人。 美国4月失业率 3.6%,预期 3.8%,前值 3…...
2024/4/18 9:45:31 - 【原油贵金属早评】库存继续增加,油价收跌
原标题:【原油贵金属早评】库存继续增加,油价收跌周三清晨公布美国当周API原油库存数据,上周原油库存增加281万桶至4.692亿桶,增幅超过预期的74.4万桶。且有消息人士称,沙特阿美据悉将于6月向亚洲炼油厂额外出售更多原油,印度炼油商预计将每日获得至多20万桶的额外原油供…...
2024/4/17 2:33:17 - 【外汇早评】日本央行会议纪要不改日元强势
原标题:【外汇早评】日本央行会议纪要不改日元强势近两日日元大幅走强与近期市场风险情绪上升,避险资金回流日元有关,也与前一段时间的美日贸易谈判给日本缓冲期,日本方面对汇率问题也避免继续贬值有关。虽然今日早间日本央行公布的利率会议纪要仍然是支持宽松政策,但这符…...
2024/4/17 7:50:46 - 【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响
原标题:【原油贵金属早评】欧佩克稳定市场,填补伊朗问题的影响近日伊朗局势升温,导致市场担忧影响原油供给,油价试图反弹。此时OPEC表态稳定市场。据消息人士透露,沙特6月石油出口料将低于700万桶/日,沙特已经收到石油消费国提出的6月份扩大出口的“适度要求”,沙特将满…...
2024/4/18 3:56:01 - 【外汇早评】美欲与伊朗重谈协议
原标题:【外汇早评】美欲与伊朗重谈协议美国对伊朗的制裁遭到伊朗的抗议,昨日伊朗方面提出将部分退出伊核协议。而此行为又遭到欧洲方面对伊朗的谴责和警告,伊朗外长昨日回应称,欧洲国家履行它们的义务,伊核协议就能保证存续。据传闻伊朗的导弹已经对准了以色列和美国的航…...
2024/4/18 3:56:04 - 【原油贵金属早评】波动率飙升,市场情绪动荡
原标题:【原油贵金属早评】波动率飙升,市场情绪动荡因中美贸易谈判不安情绪影响,金融市场各资产品种出现明显的波动。随着美国与中方开启第十一轮谈判之际,美国按照既定计划向中国2000亿商品征收25%的关税,市场情绪有所平复,已经开始接受这一事实。虽然波动率-恐慌指数VI…...
2024/4/18 3:55:30 - 【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试
原标题:【原油贵金属周评】伊朗局势升温,黄金多头跃跃欲试美国和伊朗的局势继续升温,市场风险情绪上升,避险黄金有向上突破阻力的迹象。原油方面稍显平稳,近期美国和OPEC加大供给及市场需求回落的影响,伊朗局势并未推升油价走强。近期中美贸易谈判摩擦再度升级,美国对中…...
2024/4/18 3:55:54 - 【原油贵金属早评】市场情绪继续恶化,黄金上破
原标题:【原油贵金属早评】市场情绪继续恶化,黄金上破周初中国针对于美国加征关税的进行的反制措施引发市场情绪的大幅波动,人民币汇率出现大幅的贬值动能,金融市场受到非常明显的冲击。尤其是波动率起来之后,对于股市的表现尤其不安。隔夜美国股市出现明显的下行走势,这…...
2024/4/18 3:55:45 - 【外汇早评】美伊僵持,风险情绪继续升温
原标题:【外汇早评】美伊僵持,风险情绪继续升温昨日沙特两艘油轮再次发生爆炸事件,导致波斯湾局势进一步恶化,市场担忧美伊可能会出现摩擦生火,避险品种获得支撑,黄金和日元大幅走强。美指受中美贸易问题影响而在低位震荡。继5月12日,四艘商船在阿联酋领海附近的阿曼湾、…...
2024/4/17 21:50:30 - 【原油贵金属早评】贸易冲突导致需求低迷,油价弱势
原标题:【原油贵金属早评】贸易冲突导致需求低迷,油价弱势近日虽然伊朗局势升温,中东地区几起油船被袭击事件影响,但油价并未走高,而是出于调整结构中。由于市场预期局势失控的可能性较低,而中美贸易问题导致的全球经济衰退风险更大,需求会持续低迷,因此油价调整压力较…...
2024/4/15 13:53:08 - 氧生福地 玩美北湖(上)——为时光守候两千年
原标题:氧生福地 玩美北湖(上)——为时光守候两千年一次说走就走的旅行,只有一张高铁票的距离~ 所以,湖南郴州,我来了~ 从广州南站出发,一个半小时就到达郴州西站了。在动车上,同时改票的南风兄和我居然被分到了一个车厢,所以一路非常愉快地聊了过来。 挺好,最起…...
2024/4/15 9:16:52 - 氧生福地 玩美北湖(中)——永春梯田里的美与鲜
原标题:氧生福地 玩美北湖(中)——永春梯田里的美与鲜一觉醒来,因为大家太爱“美”照,在柳毅山庄去寻找龙女而错过了早餐时间。近十点,向导坏坏还是带着饥肠辘辘的我们去吃郴州最富有盛名的“鱼头粉”。说这是“十二分推荐”,到郴州必吃的美食之一。 哇塞!那个味美香甜…...
2024/4/18 9:24:29 - 氧生福地 玩美北湖(下)——奔跑吧骚年!
原标题:氧生福地 玩美北湖(下)——奔跑吧骚年!让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 让我们红尘做伴 活得潇潇洒洒 策马奔腾共享人世繁华 对酒当歌唱出心中喜悦 轰轰烈烈把握青春年华 啊……啊……啊 两…...
2024/4/18 3:56:18 - 扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!
原标题:扒开伪装医用面膜,翻六倍价格宰客,小姐姐注意了!扒开伪装医用面膜,翻六倍价格宰客!当行业里的某一品项火爆了,就会有很多商家蹭热度,装逼忽悠,最近火爆朋友圈的医用面膜,被沾上了污点,到底怎么回事呢? “比普通面膜安全、效果好!痘痘、痘印、敏感肌都能用…...
2024/4/18 3:55:57 - 「发现」铁皮石斛仙草之神奇功效用于医用面膜
原标题:「发现」铁皮石斛仙草之神奇功效用于医用面膜丽彦妆铁皮石斛医用面膜|石斛多糖无菌修护补水贴19大优势: 1、铁皮石斛:自唐宋以来,一直被列为皇室贡品,铁皮石斛生于海拔1600米的悬崖峭壁之上,繁殖力差,产量极低,所以古代仅供皇室、贵族享用 2、铁皮石斛自古民间…...
2024/4/18 3:55:50 - 丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者
原标题:丽彦妆\医用面膜\冷敷贴轻奢医学护肤引导者【公司简介】 广州华彬企业隶属香港华彬集团有限公司,专注美业21年,其旗下品牌: 「圣茵美」私密荷尔蒙抗衰,产后修复 「圣仪轩」私密荷尔蒙抗衰,产后修复 「花茵莳」私密荷尔蒙抗衰,产后修复 「丽彦妆」专注医学护…...
2024/4/15 23:28:22 - 广州械字号面膜生产厂家OEM/ODM4项须知!
原标题:广州械字号面膜生产厂家OEM/ODM4项须知!广州械字号面膜生产厂家OEM/ODM流程及注意事项解读: 械字号医用面膜,其实在我国并没有严格的定义,通常我们说的医美面膜指的应该是一种「医用敷料」,也就是说,医用面膜其实算作「医疗器械」的一种,又称「医用冷敷贴」。 …...
2024/4/18 3:56:20 - 械字号医用眼膜缓解用眼过度到底有无作用?
原标题:械字号医用眼膜缓解用眼过度到底有无作用?医用眼膜/械字号眼膜/医用冷敷眼贴 凝胶层为亲水高分子材料,含70%以上的水分。体表皮肤温度传导到本产品的凝胶层,热量被凝胶内水分子吸收,通过水分的蒸发带走大量的热量,可迅速地降低体表皮肤局部温度,减轻局部皮肤的灼…...
2024/4/18 3:56:11 - 配置失败还原请勿关闭计算机,电脑开机屏幕上面显示,配置失败还原更改 请勿关闭计算机 开不了机 这个问题怎么办...
解析如下:1、长按电脑电源键直至关机,然后再按一次电源健重启电脑,按F8健进入安全模式2、安全模式下进入Windows系统桌面后,按住“winR”打开运行窗口,输入“services.msc”打开服务设置3、在服务界面,选中…...
2022/11/19 21:17:18 - 错误使用 reshape要执行 RESHAPE,请勿更改元素数目。
%读入6幅图像(每一幅图像的大小是564*564) f1 imread(WashingtonDC_Band1_564.tif); subplot(3,2,1),imshow(f1); f2 imread(WashingtonDC_Band2_564.tif); subplot(3,2,2),imshow(f2); f3 imread(WashingtonDC_Band3_564.tif); subplot(3,2,3),imsho…...
2022/11/19 21:17:16 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机...
win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”问题的解决方法在win7系统关机时如果有升级系统的或者其他需要会直接进入一个 等待界面,在等待界面中我们需要等待操作结束才能关机,虽然这比较麻烦,但是对系统进行配置和升级…...
2022/11/19 21:17:15 - 台式电脑显示配置100%请勿关闭计算机,“准备配置windows 请勿关闭计算机”的解决方法...
有不少用户在重装Win7系统或更新系统后会遇到“准备配置windows,请勿关闭计算机”的提示,要过很久才能进入系统,有的用户甚至几个小时也无法进入,下面就教大家这个问题的解决方法。第一种方法:我们首先在左下角的“开始…...
2022/11/19 21:17:14 - win7 正在配置 请勿关闭计算机,怎么办Win7开机显示正在配置Windows Update请勿关机...
置信有很多用户都跟小编一样遇到过这样的问题,电脑时发现开机屏幕显现“正在配置Windows Update,请勿关机”(如下图所示),而且还需求等大约5分钟才干进入系统。这是怎样回事呢?一切都是正常操作的,为什么开时机呈现“正…...
2022/11/19 21:17:13 - 准备配置windows 请勿关闭计算机 蓝屏,Win7开机总是出现提示“配置Windows请勿关机”...
Win7系统开机启动时总是出现“配置Windows请勿关机”的提示,没过几秒后电脑自动重启,每次开机都这样无法进入系统,此时碰到这种现象的用户就可以使用以下5种方法解决问题。方法一:开机按下F8,在出现的Windows高级启动选…...
2022/11/19 21:17:12 - 准备windows请勿关闭计算机要多久,windows10系统提示正在准备windows请勿关闭计算机怎么办...
有不少windows10系统用户反映说碰到这样一个情况,就是电脑提示正在准备windows请勿关闭计算机,碰到这样的问题该怎么解决呢,现在小编就给大家分享一下windows10系统提示正在准备windows请勿关闭计算机的具体第一种方法:1、2、依次…...
2022/11/19 21:17:11 - 配置 已完成 请勿关闭计算机,win7系统关机提示“配置Windows Update已完成30%请勿关闭计算机”的解决方法...
今天和大家分享一下win7系统重装了Win7旗舰版系统后,每次关机的时候桌面上都会显示一个“配置Windows Update的界面,提示请勿关闭计算机”,每次停留好几分钟才能正常关机,导致什么情况引起的呢?出现配置Windows Update…...
2022/11/19 21:17:10 - 电脑桌面一直是清理请关闭计算机,windows7一直卡在清理 请勿关闭计算机-win7清理请勿关机,win7配置更新35%不动...
只能是等着,别无他法。说是卡着如果你看硬盘灯应该在读写。如果从 Win 10 无法正常回滚,只能是考虑备份数据后重装系统了。解决来方案一:管理员运行cmd:net stop WuAuServcd %windir%ren SoftwareDistribution SDoldnet start WuA…...
2022/11/19 21:17:09 - 计算机配置更新不起,电脑提示“配置Windows Update请勿关闭计算机”怎么办?
原标题:电脑提示“配置Windows Update请勿关闭计算机”怎么办?win7系统中在开机与关闭的时候总是显示“配置windows update请勿关闭计算机”相信有不少朋友都曾遇到过一次两次还能忍但经常遇到就叫人感到心烦了遇到这种问题怎么办呢?一般的方…...
2022/11/19 21:17:08 - 计算机正在配置无法关机,关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机...
关机提示 windows7 正在配置windows 请勿关闭计算机 ,然后等了一晚上也没有关掉。现在电脑无法正常关机以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!关机提示 windows7 正在配…...
2022/11/19 21:17:05 - 钉钉提示请勿通过开发者调试模式_钉钉请勿通过开发者调试模式是真的吗好不好用...
钉钉请勿通过开发者调试模式是真的吗好不好用 更新时间:2020-04-20 22:24:19 浏览次数:729次 区域: 南阳 > 卧龙 列举网提醒您:为保障您的权益,请不要提前支付任何费用! 虚拟位置外设器!!轨迹模拟&虚拟位置外设神器 专业用于:钉钉,外勤365,红圈通,企业微信和…...
2022/11/19 21:17:05 - 配置失败还原请勿关闭计算机怎么办,win7系统出现“配置windows update失败 还原更改 请勿关闭计算机”,长时间没反应,无法进入系统的解决方案...
前几天班里有位学生电脑(windows 7系统)出问题了,具体表现是开机时一直停留在“配置windows update失败 还原更改 请勿关闭计算机”这个界面,长时间没反应,无法进入系统。这个问题原来帮其他同学也解决过,网上搜了不少资料&#x…...
2022/11/19 21:17:04 - 一个电脑无法关闭计算机你应该怎么办,电脑显示“清理请勿关闭计算机”怎么办?...
本文为你提供了3个有效解决电脑显示“清理请勿关闭计算机”问题的方法,并在最后教给你1种保护系统安全的好方法,一起来看看!电脑出现“清理请勿关闭计算机”在Windows 7(SP1)和Windows Server 2008 R2 SP1中,添加了1个新功能在“磁…...
2022/11/19 21:17:03 - 请勿关闭计算机还原更改要多久,电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机怎么办...
许多用户在长期不使用电脑的时候,开启电脑发现电脑显示:配置windows更新失败,正在还原更改,请勿关闭计算机。。.这要怎么办呢?下面小编就带着大家一起看看吧!如果能够正常进入系统,建议您暂时移…...
2022/11/19 21:17:02 - 还原更改请勿关闭计算机 要多久,配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以...
配置windows update失败 还原更改 请勿关闭计算机,电脑开机后一直显示以以下文字资料是由(历史新知网www.lishixinzhi.com)小编为大家搜集整理后发布的内容,让我们赶快一起来看一下吧!配置windows update失败 还原更改 请勿关闭计算机&#x…...
2022/11/19 21:17:01 - 电脑配置中请勿关闭计算机怎么办,准备配置windows请勿关闭计算机一直显示怎么办【图解】...
不知道大家有没有遇到过这样的一个问题,就是我们的win7系统在关机的时候,总是喜欢显示“准备配置windows,请勿关机”这样的一个页面,没有什么大碍,但是如果一直等着的话就要两个小时甚至更久都关不了机,非常…...
2022/11/19 21:17:00 - 正在准备配置请勿关闭计算机,正在准备配置windows请勿关闭计算机时间长了解决教程...
当电脑出现正在准备配置windows请勿关闭计算机时,一般是您正对windows进行升级,但是这个要是长时间没有反应,我们不能再傻等下去了。可能是电脑出了别的问题了,来看看教程的说法。正在准备配置windows请勿关闭计算机时间长了方法一…...
2022/11/19 21:16:59 - 配置失败还原请勿关闭计算机,配置Windows Update失败,还原更改请勿关闭计算机...
我们使用电脑的过程中有时会遇到这种情况,当我们打开电脑之后,发现一直停留在一个界面:“配置Windows Update失败,还原更改请勿关闭计算机”,等了许久还是无法进入系统。如果我们遇到此类问题应该如何解决呢࿰…...
2022/11/19 21:16:58 - 如何在iPhone上关闭“请勿打扰”
Apple’s “Do Not Disturb While Driving” is a potentially lifesaving iPhone feature, but it doesn’t always turn on automatically at the appropriate time. For example, you might be a passenger in a moving car, but your iPhone may think you’re the one dri…...
2022/11/19 21:16:57