文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

使用现代化的脚本进行 ArcGIS JS API 开发

esri-loader 安装 如果安装了 nodejs 环境, esri-loader 可以通过 npm 包的形式安装, 只需要输入 npm install esri-loader 即可安装。.../V6ZHFr6zdgNZuVG0/arcgis/rest/services/Landscape_Trees/FeatureServer/0' }); this.mapView.map.layers.add...以上是维基百科中对 TypeScript 的描述, 简单说就是 TypeScript 为 JavaScript 增加了类型系统, 带来更好的开发体验 (语法检查、 智能提示等), 并且现在已经非常的流行..., 根据自己的操作系统进行安装即可。...这个模版项目配置了已经配置好了使用 TypeScript 进行开发所需的环境, 用 VS Code 打开之后, 在集成的终端窗口中输入命令: npm install 等依赖项安装完成之后, 再输入命令:

2.8K10

Google JavaScript API 的使用

以下各节显示了使用JavaScript客户端库的3种常用方法。 选项1:加载API发现文档,然后组合请求。 以下示例假定用户已经登录。有关如何登录用户的完整示例,请参见完整的auth示例。...获取您的应用程序的访问密钥 Google定义了两个级别的API访问权限: 水平 描述 要求: 简单 API调用不会访问任何私人用户数据 API密钥 已授权 API调用可以读写私有用户数据或应用程序自己的数据...OAuth 2.0凭证 要获取用于简单访问的API密钥,请执行以下操作: 在API控制台中打开“ 凭据”页面。...单击创建凭据> API密钥,然后选择适当的密钥类型。 为了确保您的API密钥安全,请遵循最佳实践以安全使用API​​密钥。...要获取OAuth 2.0凭据以进行授权访问,请执行以下操作: 在API控制台中打开“ 凭据”页面。 点击创建凭据> OAuth客户端ID,然后选择适当的应用程序类型。

4.8K20
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    基于SVG脚本注入的M365钓鱼攻击机制与防御体系研究

    代码诱导用户输入Microsoft 365(M365)账户凭据。...2.3 凭据窃取阶段伪造登录页完全克隆Microsoft登录界面,包括Logo、布局与错误提示逻辑。部分Tykit变种进一步要求用户输入“银行卡后四位”或“员工ID”,声称用于“二次身份核验”。...4.2 MFA与条件访问的局限性虽然M365支持多种MFA方式,但若用户使用短信或认证器App,攻击者仍可通过“实时钓鱼”(Real-Time Phishing)中继会话:用户在伪造页面输入用户名+密码...5.2 访问治理层:零信任与条件访问在Azure AD中配置条件访问策略,强制以下规则:所有M365登录必须来自合规设备;阻止从未知国家/地区的登录;对高风险操作(如修改邮箱转发规则)要求FIDO2硬件密钥...5.4 意识训练层:视觉指纹与域校验教育开展专项培训,教导员工识别:微软官方域名仅为 *.microsoft.com、*.office.com、*.azure.com;任何要求输入银行卡信息的“安全验证

    27410

    html2canvas实现ArcGIS API for JavaScript 4.X截图功能

    主要介绍ArcGIS API for JavaScript 4.X实现地图截图的两种方式,解决普通地图截图是底图空白的问题,最终效果如下: 需求描述 在我们项目开发过程中,有时候需要将地图上面绘制的元素或添加的一些图标之类的小元素进行截图保存或者展示...,最终效果如下: 实现方法 一、ArcGIS API for JavaScript自带的截图方式 介绍的第一种方式就是ArcGIS API for JavaScript自带的“esri/widgets...); let printTask = new PrintTask({ url: 'https://utility.arcgisonline.com/arcgis/rest/services/Utilities...,你也可以将你自己写的UI界面的用户输入值传递到我们定义的打印模板信息中去实现用户自定义打印,这一块的代码较简单,就不给大家介绍了。...结合告警信息不难猜出,ArcGIS API for JavaScript 4.X绘制的canvas元素的绘制句柄肯定是人家做了一定的限制,就想告警信息提示一样,它里面的preserveDrawingBuffer

    2.9K30

    重学SpringBoot3-集成Spring Security(三)

    攻击者通常会诱导用户点击恶意链接或访问恶意网站,该请求会在用户已登录的应用中以用户的身份执行。例如,用户登录了银行账户,攻击者发送一个请求,执行转账操作,而用户并未察觉。...攻击的关键是:用户的身份验证凭据(如Cookie、Session等)会自动随请求发送,从而使恶意请求在服务器端被认为是合法的。...在默认情况下,Spring Security 会启用 CSRF 保护,特别是对于会话管理的应用。 1.1 演示效果 如果提交表单时未传 _csrf ,则会提示 403 禁止访问。...XSS 攻击允许攻击者通过注入恶意的客户端脚本(如JavaScript)来操纵用户浏览器,从而窃取用户信息或执行其他恶意行为。...防范SQL注入 SQL 注入是最常见的攻击之一,通过在输入字段中插入恶意的 SQL 语句来篡改数据库。Spring Security 通过数据访问层的安全来防止 SQL 注入。

    1.7K10

    重复密码行为的持续性及其对凭据填充攻击的放大效应研究

    一旦任一服务发生数据泄露,攻击者即可利用泄露的用户名-密码对,在其他平台发起凭据填充攻击。此类攻击依赖自动化脚本批量测试数千个网站的登录接口,成功率高度依赖用户密码复用率。...而暗网中已出现成熟的会话令牌交易市场,使得攻击者无需破解密码即可直接接管活跃会话。...3.3 安全疲劳(Security Fatigue)频繁的安全提示、复杂的设置流程、以及“狼来了”式的威胁宣传导致用户产生心理倦怠。...5.2 会话令牌黑市一旦获得有效Session ID或JWT令牌,攻击者无需密码即可维持访问。...", 400# ... proceed6.3 监管层强制“重复密码提示”:对金融、医疗、政务等关键服务,要求在用户尝试使用已泄露或高复用风险密码时弹出明确警告。

    30010

    混淆重定向SVG钓鱼邮件技术分析

    图像渲染后一瞬间,嵌入的JS代码将用户重定向到攻击者的钓鱼站点。整个脚本逻辑高度混淆且动态执行,旨在绕过安全扫描,实现无需用户点击也会自动跳转的效果。...页面中往往已有用户的电子邮件地址填写好(从先前跳转URL的e参数获取),因此用户只需输入密码即可。这给用户一种熟悉感,认为自己确实需要重新登录Office账户来查看文件/语音邮件等 。...页面要求用户输入邮箱(已预填)和密码“验证身份”,实际为窃取凭据的手段。 尽管形式上不直接说“登录 Office 365”,但要求输入的邮箱密码实际上就是用户的Microsoft账号密码。...而如果启用了双重认证,某些AITM工具还能提示用户输入二次验证码,然后在后台利用该验证码完成真正的登录,截获会话Cookie或令牌。...一般用户看到熟悉的登录界面或验证提示,往往因为前面经历了“安全检查”等步骤而放松警惕,认为输入密码是合理的要求。一旦配合,攻击者便获得了进入其账户的大门钥匙。

    1.1K00

    生成式人工智能驱动的钓鱼网站自动化构建机制与防御对策研究

    Logo、配色方案、字体等视觉元素;后端逻辑:添加JavaScript代码,将用户输入的凭据通过Webhook或XHR发送至攻击者控制的服务器;一键部署:结合GitHub Pages、Netlify或Vercel...该流程无需编程基础,仅需复制粘贴即可完成。2.2 视觉与功能的高度仿真现代LLM(如GPT-4o、Claude 3.5 Sonnet)具备强大的多模态理解能力,能准确提取品牌视觉规范。...3.1 实验一:生成完整钓鱼页面代码提示词:“请为Microsoft 365生成一个登录页面,包含用户名和密码输入框,提交后将数据发送到 https://attacker.com/log.php。...;e.preventDefault();}});4.4 AI层:安全约束与输出过滤AI服务商应在模型输出阶段嵌入安全机制。...这一趋势对现有网络安全体系构成严峻挑战。有效的防御不应仅依赖终端用户警惕,而需构建覆盖基础设施、内容分发、前端交互与AI生成源头的协同机制。

    30310

    六种Web身份验证方法比较和Flask示例代码

    : Digest nonce="44f0437004157342f50f935906ad46fc" 标头会导致浏览器显示用户名和密码提示WWW-Authenticate: Basic 输入凭据后,密码将被散列...由于您可以获得额外的安全层,因此建议将OTP用于涉及高度敏感数据的应用程序,例如网上银行和其他金融服务。...,并相应地授予访问权限 TOTP的工作原理: 客户端发送用户名和密码 凭据验证后,服务器使用随机生成的种子生成随机代码,将种子存储在服务器端,并将代码发送到受信任的系统 用户在受信任的系统上获取代码,然后将其输入回...,并在 Web 应用上输入该代码 服务器验证代码并相应地授予访问权限 优点 添加额外的保护层。...更简单、更快速地登录流程,因为无需创建和记住用户名或密码。 如果发生安全漏洞,不会发生第三方损坏,因为身份验证是无密码的。 缺点 你的应用程序现在依赖于另一个应用,不受你的控制。

    11K40

    关于Web验证的几种方法

    验证(Authentication)是具备权限的系统验证尝试访问系统的用户或设备所用凭据的过程。...由于 OTP 让你获得了额外的一层安全保护,因此建议将 OTP 用于涉及高度敏感数据的应用,例如在线银行和其他金融服务。...服务器对照存储的代码验证输入的代码,并相应地授予访问权限 TOTP 如何工作: 客户端发送用户名和密码 经过凭据验证后,服务器会使用随机生成的种子生成随机代码,并将种子存储在服务端,然后将代码发送到受信任的系统...,然后在 Web 应用中输入该代码 服务器验证代码并相应地授予访问权限 优点 添加了一层额外的保护 不会有被盗密码在实现 OTP 的多个站点或服务上通过验证的危险 缺点 你需要存储用于生成 OTP 的种子...由于无需创建和记住用户名或密码,因此登录流程更加轻松快捷。 如果发生安全漏洞,由于身份验证是无密码的,因此不会对第三方造成损害。 缺点 现在,你的应用程序依赖于你无法控制的另一个应用。

    5.8K30

    Tycoon 2FA 钓鱼套件的 AitM 攻击机制与防御对策研究

    摘要近年来,随着多因素认证(MFA)在企业身份验证体系中的广泛部署,传统凭据窃取手段的有效性显著下降。...例如,当用户输入密码并点击“下一步”后,前端 JavaScript 捕获该动作,将凭据通过独立信道(如 POST 到 /zcYbH5gqRHbzSQXiK8YtTbhpNSGtkZc6xbMyRBGazbWU8fjfq...)发送至攻击者的 C2 服务器,随后才将凭据提交至真实服务器以维持会话连续性。...实测表明,Microsoft 365 在完成 MFA 验证后返回的 .AspNet.Cookies 与 x-ms-gateway-sso 等 Cookie 即可直接用于访问 Outlook、OneDrive...3.3 凭证与上下文信息的加密回传捕获到的邮箱、密码、MFA 代码及浏览器指纹信息均通过 AES 加密后外传。

    25710

    基于PDF与云存储协同的新型钓鱼攻击机制与防御体系研究

    一旦用户输入凭据,攻击者即可实时获取访问权限,进而实施邮箱接管、横向移动或商业邮件欺诈(BEC)。...一旦用户在伪造页面输入凭据,后端脚本会立即将数据发送至攻击者控制的服务器,并可能同时将用户重定向至真实的登录页面以消除怀疑。...如果检测到威胁,网关将阻断访问并警告用户;如果是安全的,则允许重定向。...此外,浏览器扩展程序可以提供实时的域名可视化提示,明确显示当前页面的实际托管者与显示品牌是否一致。在用户赋能方面,传统的年度安全意识培训已显不足。...3.3 身份认证与访问控制的强化即便凭据被盗,强大的身份认证机制也能成为最后一道防线。

    6410

    针对Firefox扩展开发者的钓鱼攻击技术剖析与防护机制研究

    攻击邮件以“您的扩展因违反新安全策略被暂停”或“请立即完成账户二次验证”为由,引导收件人访问伪造的登录页面。...更危险的是,部分变种尝试利用OAuth 2.0授权码流程进行中间人攻击。钓鱼页面呈现“Mozilla正在请求访问您的账户”提示(实际为伪造的授权同意页),诱导用户点击“允许”。...(三)多因素认证(MFA)非强制截至2025年,AMO平台虽支持TOTP和硬件安全密钥,但未对所有开发者强制启用。攻击者一旦获取密码,即可直接登录,无需绕过第二因子。...(四)扩展更新缺乏用户确认机制Firefox在后台静默更新扩展,用户无法选择是否接受新版本。即使扩展行为发生显著变化(如新增权限),也无明确提示,削弱了终端用户的监督能力。...实验步骤:发送伪造邮件至测试账户;用户点击链接并输入凭据;攻击者使用凭据登录AMO,上传含后门的新版扩展;Firefox自动更新并执行恶意代码。

    20010

    配电网WebGIS研究与开发

    对电力设备进行查询,查询方式包括两种:一种是利用工具条对地图中指定位置的设备进行查询,这是以地理位置作为查询依据;另外一种是用户输入相关字符然后对数据库进行查询,这是以设备的属性字段作为查询依据。...关于Web ADF JavaScript Library的详细帮助可以在arcgis server的帮助中查到。   ...客户端JavaScript函数来对回复的数据进行承接,并通过客户端的一个类似于MapTips的JavaScript控件进行显示,这个JavaScript控件主要由一个下拉框、一个检索信息显示表和一个图层路径提示条组成...3.1.2 设备属性查询   要求:用户通过输入电力设备的已知属性(这些属性),比如“设备编号”、“设备名称”来进行关键字检索,将检索结果显示在页面中,然后选中的查询结果在地图中着重标识出来,并提供放大定位功能和查询详细信息...GraphicsLayerContextMenu:图层信息节点的右键菜单 ,处于第二层。 FeatureContextMenu: 图层下属要素结点的右键菜单,处于第三层。

    1.8K20

    OAUTH2 的微服务安全-spring cloud快速入门教程

    前言 公开由许多微服务组成的公共访问 API 时要考虑的最重要方面之一是安全性。Spring 有一些有趣的特性和框架,使我的微服务安全配置更容易。...理论 OAuth2 标准目前被所有允许您通过共享 API 访问其资源的主要网站使用。它是一种开放的授权标准,允许用户将存储在一个页面中的私有资源共享到另一个页面,而无需进入其凭据服务。...它还必须确保授予相关人员访问权限 访问令牌——允许访问资源的密钥 授权授予——授予访问权限。确认访问的方式有多种:授权码、隐式、资源所有者密码凭据和客户端凭据 该协议的流程包括三个主要步骤。...用户凭据是普通的 Spring Security 用户详细信息。...我还公开了一个 REST 端点,其中包含帐户服务的用户身份验证详细信息,并为客户端启用 Eureka 注册和发现。

    79500

    FIDO 降级攻击的机理分析与纵深防御策略研究

    关键词:FIDO;降级攻击;无密码认证;中间人代理;条件访问;身份安全1 引言随着网络钓鱼攻击的持续演化,传统基于用户名与密码的身份验证机制已显疲态。...值得注意的是,该攻击不要求破解FIDO协议本身,亦无需获取用户的私钥,其核心在于社会工程与协议协商层面的欺骗。...步骤二:拦截FIDO认证请求当用户在钓鱼页面输入账号后,后端向真实IdP发起登录请求。IdP返回包含FIDO认证选项的响应。...步骤四:会话重放与账户接管攻击者使用窃取的会话Cookie直接访问目标应用(如Outlook Web),无需任何进一步认证,实现完全的账户接管。...3.3 用户教育的局限性尽管安全意识培训强调“勿点击可疑链接”,但在高度逼真的降级提示(如“安全密钥错误”)面前,普通用户难以分辨真伪。技术防御必须承担主要责任。

    30410

    OWASP Top 10关键点记录

    ,或者使用可以创建JavaScript的浏览器API并使用用户提供的数据更新现有网页就会发生XSS缺陷。...失效访问控制 仅允许通过身份验证的用户的限制没有得到适当的强制执行。攻击者可以利用这些缺陷来访问未经授权的功能和/或数据,例如访问其他用户的帐户,查看敏感文件,修改其他用户的数据,更改访问权限等。...安全威胁 用户信息泄漏、商业信息泄漏、破坏数据完整性等 关键点技术 目录穿越、本地文件包含、远程文件包含、越权 安全配置错误 好的安全需要对应用程序、框架、应用程序服务器、web服务器、数据库服务器和平台定义和执行安全配置...攻击保护远远超出了基本输入验证,并且涉及自动检测,记录,响应甚至阻止攻击。应用程序所有者还需要有快速部署补丁以防止攻击的能力。 常见问题 识别到攻击不做阻止、导致可以不断尝试测试,造成安全隐患。...JavaScript和移动端应用程序,连接到某种API(SOAP / XML,REST / JSON,RPC,GWT等)。

    1.5K00
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券