目录介绍：

• 1、elasticsearch，solr对比各自有哪些优缺点
• 2、什么是web开发人员最喜欢的前端工具
• 3、白名单是什么意思
• 4、xss标配都有什么
• 5、：.shtm的文件是什么类型的文件？其作用或优点是什么？
• 6、漏洞扫描都有哪几个厂商？国内或者国外的，分别有什么优势或者特点？

elasticsearch，solr对比各自有哪些优缺点

从两个方面对ElasticSearch和Solr进行对比，从关系型数据库中的导入速度和模糊查询的速度。

单机对比

1. Solr 发布了4.0-alpha，试了一下，发现需要自己修改schema，好处是它自带一个data importer。在自己的计算机上测试了一下，导入的性能大概是：14分钟导入 3092730 条记录，约合 3682条/秒。

2. 3百万条记录的情况下，模糊查询和排序基本都在1秒内返回

3. 刚才的测试，是每个field单独存储，现在修改了一下配置文件，增加了一个copyField，所有的field都拷贝一份到text这个field里面去，导入的性能大概是：19分钟导入了3092730 条记录，约合 2713条/秒

4. 3百万条记录的情况下，针对text的模糊查询基本在1秒内返回，但是针对所有记录的排序，大概要2~3秒

5. 使用 elasticsearch 0.19.8，缺省配置，用单任务导入，导入性能是：20分钟导入了3092730 条记录，约合2577条/秒

6. 3百万条记录的情况下，查询基本上在1秒内返回，但是模糊查询比较慢，第一次要10秒，后来大概要1~3秒。加上排序大概需要5秒，整体排序基本100ms

查询及排序的指令：

{

"query": {

"query_string": {

"query": "*999*"

}

},

"sort": [

{

"TIME_UP": {

"order": "asc"

}

}

]

}

7. Es0.19.8，用两个任务导入，导入性能是：13分钟导入了3092730 条记录，约合3965条/秒

8. Solr全部建好索引后，占用磁盘空间是1.2G，es占用磁盘空间是4G

单机对比2

在一台Intel i7，32G内存的机器上，重新跑这两个的对比。不过有个重大的区别在于，Solr是在这台性能很好的机器上跑，而es的导入进程则是在一台Intel 四核 2.5G，4G内存的机器上跑的，也许会有性能的差异。ES版本0.19.8，Solr版本4.0-ALPHA。

1. Solr的导入性能：3400万条记录，用时62分钟，平均9140条/秒，占用空间12.75G

2. 使用 *999* 这样的模糊查询，3秒以内返回，稍长一点的查询条件 *00100014*，也是2~3秒返回

3. Es的导入性能（设置Xmx为10G）：3400万条记录，用时40分钟，平均14167条/秒，占用空间33.26G，客户端采用4个并发。

4. 使用 *999* 这样的模糊查询，9秒返回，稍长一点的查询条件 *00100014*，11.8秒返回

5. 如果不是针对所有字段查询，而是针对某个特定字段，比如 SAM_CODE: *00100014*，那么也是1秒以内返回。

6. 结论：es的查询效率也可以很高，只是我们还不会用。

7. 结论2：es有个设置是把所有字段放一块的那个，缺省是放一起，但是不知道为什么没起到应有的作用。

备注：

1. Solr第一次的那个内存使用的是缺省设置，这次改为10G，结果导入性能反而变差了，400万条记录，用了8分钟，平均8333条/秒，不知道为什么。

2. 改回缺省的内存配置，导入速度仍然慢。

3. 重启Linux，用10G的内存配置，再导入，5030万条记录，用时92分，约9112条/秒，说明导入速度和内存配置没有大差别

4. 在10G配置的情况下，检索速度也差别不大。

5. 为了搞清楚lucene4.0和solr4.0的进步有多大，下载了solr3.6.1，所幸的是4.0的配置文件在3.6.1上也可以用，所以很快就搭起来进行测试，导入性能为：3400万条记录，用时55分钟，约10303条/秒，占用空间13.85G。查询性能：*999*第一次11.6s，*00100014* 27.3s，相比4.0ALPHA的结果（5000万结果当中，*999*第一次2.6s，*00100014*第一次2.5s）来说，慢了很多，与es的性能差不多，因此，也许lucene4.0真的对性能有大幅提升？

集群对比：

采用4台同样配置（Intel i7，32G内存）的Centos 6.3组成的集群，进行对比。

1. 首先是es，很方便的就组成了一个Cluster，等上一个3400万条的Index全部均衡负载之后进行测试，导入到另外一个Index当中。

2. 导入性能：8500万条记录，用时72分钟，约为19676条/秒。在前5千万条记录导入时的速度在2万/条以上，初始的速度在2.2万/条。占用空间78.6G（由于有冗余，实际占用空间为157.2G）

3. 查询性能：

*999*第一次13.5秒，第二次19.5秒，第三次7.4秒，第四次7.1秒，第五次7.1秒

*00100014*第一次17.2秒，第二次16.6秒，第三次17.9秒，第四次16.7秒，第五次17.1秒

SAM_CODE:*999*，0.8s，1.3s，0.02s，0.02s，0.02s

SAM_CODE: *00100014*，0.1s，0.1s，0.02s，0.03s，0.05s

4. Solr4.0-ALPHA，SolrCloud的配置还算简单，启动一个ZooKeeper，然后其他三台机器访问这个地址，就可以组成一个Cloud：

机器1： nohup java -Xms10G -Xmx10G -Xss256k -Djetty.port=8983 -Dsolr.solr.home="./example-DIH/solr/" -Dbootstrap_confdir=./example-DIH/solr/db/conf/ -Dcollection.configName=xabconf3 -DzkRun -DnumShards=4 -jar start.jar

其他机器：nohup java -Xms10G -Xmx10G -Dsolr.solr.home="./example-DIH/solr/" -DzkHost=192.168.2.11:9983 -jar start.jar

但是在执行 data import 的时候，频繁出现 OutOfMemoryError: unable to create new native thread。查了很多资料，把Linux的ulimit当中的nproc改成10240，把Xss改成256K，都解决不了问题。暂时没有办法进行。

结论

1. 导入性能，es更强

2. 查询性能，solr 4.0最好，es与solr 3.6持平，可以乐观的认为，等es采用了lucene4之后，性能会有质的提升

3. Es采用SAM_CODE这样的查询性能很好，但是用_all性能就很差，而且差别非常大，因此，个人认为在目前的es情况下，仍然有性能提升的空间，只是现在还没找到方法。

什么是web开发人员最喜欢的前端工具

1、jQuery

jQuery由于其无限的教程，没有跨平台/浏览器问题，优秀的用户界面，大量的插件以及它的轻量，快速和快速学习等特点而脱颖而出。超过70％的受访者选择jQuery作为他们的前端库，它是一个快速，轻量级和简洁的JavaScript库，主要用于HTML文档遍历、事件处理、动画和用于快速Web开发的Ajax交互。从本质上讲，jQuery最适合需要快速开发的应用程序。

2、Bootstrap

超过65％的开发者选择Bootstrap作为他们最喜欢的框架来使用，它是一个用HTML、CSS和JS开发的开源工具包。Bootstrap的广泛流行主要是因为它的简单使用、优秀的社区以及大量的文章和教程、第三方插件和扩展、主题构建器等。

3、Angular

如果你打算构建一个动态且强大的单页应用程序，Angular就是你需要的框架。Angular是高度模块化的，因此非常适合与团队分开大型工作，并且使测试和调试变得轻松。功能优先的方法使Angular更加专注于功能，使开发人员的工作更轻松。此外，它还有来自Google社区的出色工具和支持。

4、NPM

NPM是Node的包管理器。借助NPM，开发人员可以安装各种模块进行Web开发，共享和借用软件包，并管理私有开发。它由网站、命令行界面（CLI）和注册表三个不同的组件组成。

5、Webpack

Webpack是现代JavaScript应用程序的模块打包程序，它将前端开发所需的所有资源（如JavaScript、字体和图像）集中到一个地方。如果你正在开发复杂的前端，这特别有用。你可以去通过部署具有的WebPack Web应用程序，以获取有关的WebPack起来和运行。

除了以上工具，还有Sass、React等，根据企业所用工具的不同，你需要掌握的工具也不一样。

白名单是什么意思

白名单的概念与“黑名单”相对应。

白名单技术的宗旨是不阻止某些特定的事物，它采取了与黑名单相反的做法，利用一份“已知为良好”的实体(程序、电子邮件地址、域名、网址)名单。没有必要运行必须不断更新的防病毒软件，任何不在名单上的事物将被阻止运行；系统能够免受零日攻击。

白名单技术十分简单，给予了管理员和公司较大的权力来控制能够进入网络或者在机器上运行的程序，白名单技术的优点是，除了名单上的实体外都不能运行或者通过，缺点则是，不在名单上的实体都不能运行和通过。

扩展资料：

1、黑名单，白名单优缺对比：

黑名单：

优点：可以通过已知的信息禁止(解决)一些隐患，例如过滤XSS，SQL注入等。

缺点：仅能针对已知的隐患和威胁，不能防御新的威胁，例如0day。

白名单：

优点：解决0day，相较于黑名单更轻量。

2、适用场景。

黑名单：信任域大的适合用黑名单，例如接入层的WAF根据某些IP的恶意请求禁止此IP。

白名单：信任域小的适合用白名单，例如数据库服务器仅允许特定IP地址、网段的客户端来连接它。

参考资料来源：百度百科-实时黑名单列表

参考资料来源：百度百科-白名单

xss标配都有什么

挺多的。

4t，1060级别，1080p专用游戏机，部分不吃配置或者优化很好的游戏能2k或棋盘4k，有光追不过属于体验很难流畅，优点，便宜，小巧便携。

网游机，就是只玩1080p的那种正好对应xsx的1/3显卡性能同帧数，单机肯定不能真的1440p。

：.shtm的文件是什么类型的文件？其作用或优点是什么？

SSI有什么用?

之所以要扯到ssi，是因为shtml--server-parsed HTML 的首字母缩略词。包含有嵌入式服务器方包含命令的 HTML 文本。在被传送给浏览器之前，服务器会对 SHTML 文档进行完全地读取、分析以及修改。

shtml和asp 有一些相似，以shtml命名的文件里，使用了ssi的一些指令，就像asp中的指令，你可以在SHTML文件中写入SSI指令，当客户端访问这些shtml文件时，

服务器端会把这些SHTML文件进行读取和解释，把SHTML文件中包含的SSI指令解释出来比如：你可以在SHTML文件中用SSI指令引用其他的html文件（#include ），服务器传送给客户端的文件，是已经解释的SHTML不会有SSI指令。它实现了HTML所没有的功能，就是可以实现了动态

的SHTML，可以说是HTML的一种进化吧。像新浪的新闻系统就是这样的，新闻内容是固定的但它上面的广告和菜单等就是用#include引用进来的。

目前，主要有以下几种用用途：

1、显示服务器端环境变量#echo

2、将文本内容直接插入到文档中#include

3、显示WEB文档相关信息#flastmod #fsize (如文件制作日期/大小等)

4、直接执行服务器上的各种程序#exec(如CGI或其他可执行程序)

5、设置SSI信息显示格式#config(如文件制作日期/大小显示方式)

高级SSIXSSI可设置变量使用if条件语句。

使用SSI

SSI是为WEB服务器提供的一套命令，这些命令只要直接嵌入到HTML文档的注释内容之中即可。如：

!--#include file="info.htm"--

就是一条SSI指令，其作用是将"info.htm"的内容拷贝到当前的页面中，当访问者来浏览时，会看到其它HTML文档一样显示info.htm其中的内容。

其它的SSI指令使用形式基本同刚才的举例差不多，可见SSI使用只是插入一点代码而已，使用形式非常简单。

当然，如果WEB服务器不支持SSI，它就会只不过将它当作注释信息，直接跳过其中的内容；浏览器也会忽略这些信息。

如何在我的WEB服务器上配置SSI功能？

在一些WEB服务器上（如IIS 4.0/SAMBAR 4.2），包含 #include 指令的文件必须使用已被映射到 SSI 解释程序的扩展名；否则，Web 服务器将不会处理该SSI指令；默认情况下，扩展名 .stm、.shtm 和 .shtml 被映射到解释程序（Ssinc.dll）。

Apache则是根据你的设置情况而定，修改srm.conf如：

AddType text/x-server-parsed-html .shtml 将只对.shtml扩展名的文件解析SSI指令

AddType text/x-server-parsed-html .html将对所有HTML文档解析SSI指令

Netscape WEB服务器直接使用Administration Server(管理服务器)可打开SSI功能。

Website使用Server Admin程序中的Mapping标签，扩展名添加内容类型为：wwwserver/html-ssi

Cern服务器不支持SSI，可用SSI诈骗法，到 上下载一个PERL脚本，即可使你的CERN服务器使用一些SSI指令。（不支持exec指令。）

漏洞扫描都有哪几个厂商？国内或者国外的，分别有什么优势或者特点？

用于渗透测试的话，推荐：

用iPhone或iPad也能进行SQL注入扫描、跨站XSS漏洞扫描了，在越狱的手机上，使用Cydia搜索WebCruiser即可，会找到WebCruiser Web Vulnerability Scanner for iOS 版本。其中, 从bigboss源下载时需要收费的，但从其它源下载的话，你懂的

WebCruiser Web Vulnerability Scanner for iOS, an effective and convenient web penetration testing tool that will aid you in auditing your website!

WebCruiser can find the following web vulnerabilities currently:

* GET SQL Injection(Int, String, Search)

* POST SQL Injection(Int, String, Search)

* Cross Site Scripting(XSS)