Cross-domain policy файл

Cross-domain policy файл е xml документ, който дава разрешение на уеб клиент (например Adobe Flash Player) да използва ресурси от различен домейн. Когато уеб приложението се хоства в един домейнт, но самото приложение прави заявки към друг, тогава е необходимо на външния домейн да бъде сложен cross-domain policy файл, който указва главния домейн и позволява на клиента да извиква ресурси от този. Разрешението включва четене на данни и позволение за включване на хедъри при заявките между двата домейна.
Същият файл може да се използва за разрешаване на свързване през сокети. В този случай файлът трябва да бъде поставен и при двата домейна, за да разреши свързването помежду им.
Най-често на сървъра въпросният файл се разполага в основната директория на домейна с името crossdomain.xml - клиентът по подразбиране проверя този адрес, когато разрешението е нужно. Така разположениея файл се нарича master policy file.

<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM
"http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
    <site-control permitted-cross-domain-policies="master-only"/>
    <allow-access-from domain="*"/>
    <allow-http-request-headers-from domain="*" headers="SOAPAction"/>
</cross-domain-policy>

Елементът site-control в применра указва, че само този master policy file може да бъде приеман за валиден за този домейн. Елементът allow-access-from посочва, че съдържание от всеки друг домейн може да достъпва данни от домейна (където policy файлът е разположен). Елементът allow-http-request-headers-from казва, че е разрешено SOAPAction хедъри да бъдат изпращани със заявките към този домейн.

Динамичен html таг в xsl template

Проблемът е следния:
Искам чрез xsl да форматирам xml документ в html такъв. Това е стандартна процедура.

Например имам my_movie.xml:

<?xml version="1.0" encoding="utf-8"?>
<?xml-stylesheet type="text/xsl" href="movie.xsl"?>
<movie>
<name>YouTube</name>
<src>Whant to put movie here</src>
</movie>

Имам също темплейт movie.xsl:

<?xml version="1.0" encoding="utf-8"?>
<xsl:stylesheet version="1.0" xmlns:xsl="http://www.w3.org/1999/XSL/Transform">
    <xsl:template match="movie">
        <html>
            <head>
                <title><xsl:value-of select="name"/></title>
            </head>
            <body>
                <h1><xsl:value-of select="name"/></h1>
                <p id="src"><xsl:value-of select="src"/></p>
            </body>
        </html>
    </xsl:template>
</xsl:stylesheet>

Слагам тези два файла в една директория, след това казвам на някой браузер да отвори movie.xml. Показва се html страница, тъй като към xml-а съм добавил реда <?xml-stylesheet type="text/xsl" href="movie.xsl"?>, който указва как да бъде форматиран.

Дотук добре, но това, което аз искам да направя е, е да сложа не текст като съдържание на тага src, а всъщност html таг, например:

<object width="425" height="344">
    <param name="movie" value="http://www.youtube.com/v/2-xIulyVsG8&hl=en&fs=1"></param>
    <param name="allowFullScreen" value="true"></param>
    <param name="allowscriptaccess" value="always"></param>
    <embed src="http://www.youtube.com/v/2-xIulyVsG8&hl=en&fs=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344"></embed>
</object>

така щото във форматираната страница да ми се показва не друго, а филмчето.

Ако сложа горното директно като съдържание на src тага няма да се получи, защото <object> ще бъде интерпретиран като нов xml таг, а не както аз искам - като текст.

Възможно е да има стандартно и просто разрешение на този проблем. Пуснах няколко търсения в гугъл, но не можах да го намеря - може би защото нямах достатъчно хъс за търсене. Наложи ми се да се замисля и ето какво измислих:

Възможно е да се използва <![CDATA[...]]>, за да се ескейпне съдържанието на src тага. Тогава movie.xml ще изглежда така:

<?xml version="1.0" encoding="utf-8"?>
<?xml-stylesheet type="text/xsl" href="movie.xsl"?>
<movie>
<name>YouTube</name>
<src><![CDATA[
<object width="425" height="344">
<param name="movie" value="http://www.youtube.com/v/2-xIulyVsG8&hl=en&fs=1"></param>
<param name="allowFullScreen" value="true"></param>
<param name="allowscriptaccess" value="always"></param>
<embed src="http://www.youtube.com/v/2-xIulyVsG8&hl=en&fs=1" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="425" height="344"></embed>
]]></object>
</src>
</movie>

По такъв начин интерпретаторът ще разбере, че тук става дума за съдържание на тага, не нов таг. За съжаление обаче, той ще подмени специалните символи като '<' и '>' с '&lt;' и '&gt;' при което браузера ще покаже кода и пак не това, което аз искам.

Остава да вземем контра мерки и с javascript да върнем < и > обратно.

function replaceSpecial(){
    var text = document.getElementById("src").innerHTML;
    while(text.indexOf('&lt;') != -1){
        text = text.replace('&lt;', '<');
    }
    while(text.indexOf('&gt;') != -1){
        text = text.replace('&gt;', '>');
    }
    document.getElementById("src").innerHTML = text;
}

Добавяме в movie.xls извикване на тази javascript функция преди затварящия таг </body>:

<script type="text/javascript">replaceSpecial();</script>

Работи.

PostgerSql Array и Java

    Java разбира се предлага мапинг за базовите типове данни в PostgreSql, но има един интересен - Array. По какъв начин можем да подадем Array в PostgreSql функция?
    Необходимо е да използваме интерфейса java.sql.Array, но как? Този интерфейс ни задължава да имплементираме хиляда и един метода, кой от кой по непонятно изглеждащи. Може да загубите часове проследявайки връзките кое какво е, при това без явен напредък. Аз поне доста се измъчих, но накрая успях. Ето как може да се справите. Лично за мен способът е потресаващ :-):


import java.sql.Array;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.ArrayList;
import java.util.Map;

public class PgArray implements Array{
  public static final String TEXT = "text";
  public static final String INTEGER = "int4";
  private String m_pgArray;
  private String m_dataType;

  public PgArray(ArrayList<Object> array, String dataType)throws         SQLException{
     m_dataType = dataType;
     StringBuilder sb = new StringBuilder("{");
     for(Object obj : array){
       sb.append(escape(obj.toString()));
       sb.append(',');
    }
     if(sb.length() > 1){
      sb.deleteCharAt(sb.length()-1);
     }else{
       throw new SQLException("Array is empty");
    }
    sb.append("}");
     m_pgArray = sb.toString();
    }

  private String escape(String text){
    text = text.replace(",", "\\,");
    text = text.replace("'", "\\'");
    return text;
  }

@Override
   public int getBaseType() throws SQLException {
     if(TEXT.equals(m_dataType))       return java.sql.Types.VARCHAR;
    }else if(INTEGER.equals(m_dataType)){
       return java.sql.Types.INTEGER;
    }
   return -1;
  }

@Override
  public String getBaseTypeName() throws SQLException {
     return m_dataType;
  }

  public String toString(){
    return m_pgArray;
  }
  // ...
  //тук следват 1000 метода,
  //които оставяте с празно съдържание
}

    За този, който би се зачудил какво толкова странно има тук, ще сложа този линк към документацията за Array интерфейса:
http://java.sun.com/j2se/1.4.2/docs/api/java/sql/Array.html
    И така, на практика единствения използван метод от предлаганите от интерфейса е getBaseTypeName(), който указва от какъв тип е съдържанието на масива(на java типа String отговаря text). Другото, което се прави е, да се пренапише toString(), така че връщаното от него да представя масива в "{...,...,...,...}" формат.
    Вярвате или не, това нещо работи.

Web злодеяния

    Разбира се почти всеки в днешно време може "да си направи сайт" - мисля че това е термина. От това уеб пространството дали печели или прото става все по-претрупано, не е ясно. И не с това искам да се занимавам тук.
    Аз самият не оставам по-назад в общото течение, още повече, че правенето на сайтове има връзка с едно от образованията ми. И така - в свободното си време, аз, също хората, които ми помагат, сядаме (стига да имаме настроение за това) и започваме на превеждаме статии, предимно от английски, за да ги публикуваме в сайта. Превеждането на статии наистина не е така трудно как писането им, но въпреки това изисква усилия и време. След това тези статии се редактират, форматират се според необходимото за изгледа в html формат, после започва търсена на съответната картинка, защото статия без картинка не може, а пък самата картинка се обработва, за да си пасне с общия формат. След като всичко е готово, започва самото публикуване, което изисква поредица от разпръснати промени на много места, които промени винаги остават за в бъдеще да бъдат автоматизирани. И после всичко е готово. Оглеждаме сайта и сме доволни, поздравяваме се един друг. Не че някой има сметка, но човек се чувства доволен пред удачно свършената работа.
    Всичко върви добре, когато един ден откривам как някакъв безочлив сайтоправител просто копира съдържанието от нашите статии в собствения си сайт. Не само, ами дотам е безочлив, че дори не си прави труда да открадне картинките, ами просто копира адресите и използва хостнатите изображения.
    Откривайки последното, преминавам в "свинско настроение" (Хемингуей имаше такава приказка: "Свинско е да се чувстваш така, ама какво да направя като някои хора те карат да се чувстваш свински?") и струва ми се обяснимо започвам да кроя планове как да направя лошо на крадливия уебмастер.
Злодеяние първо: първото, което ми хрумва е, че тъй като противникът показва картинки, които са на моя сървър, аз мога да подменя картинките с други, (с неприлично съдържание например), след което той ще продължи да ги показва. Речено сторено: намирам една картинка, на която е показана ръка с щтръкнал среден пръст, слагам я отделна директория на сървъра(смисълът на това ще стане ясен) и използвайки вързможностите за редирект на апача слагам в директорията с картинките файл с име .htaccess със следното кратко съдържание:

RewriteEngine On

RewriteBase /

RewriteCond %{HTTP_REFERER} !^.*<моя сайт>.*

RewriteRule (.*) http://<моя сайт>/finger.jpg [R,L]

    Смисълът на тези редове е, че те проверяват дали заявката за картинката идва от моя съврвър и ако не е така, препраща към друг адрес - в случая към картинката с щтръкнал пръст.
    След като правя това, отварям сайта на лошите и виждам собствените си статии гарнирани с неприлични жестове. Доволен съм - решавам че контрамерката е ефектна и ще откажа крадльото от следващи злодеяния.
    През следващите няколко дена хвърлям по едно око, за да проверя има ли развитие. Накрая с потрес установявам, че е открадната нова статия! Този път крадецът е трябвало да се откаже да ползва картинката наготово и му се е наложило да потърси друга - но ето на - безочието няма граници. Виждам също, че не всички щтръкнали пръсти от старите статии са махнати, което ме навежда на мисълта, че противника е немърлив или просто не е твърде схватлив.
    Написвам няколко коментара към статиите със забежки към стореното и слаба надежда, че ще имат ефект. Коментарите скоро биват изтрити.
Злодеяние второ: Но разбира се коментарите не е нужно да се пишат на ръка. Всеки, който поне малко се е занимавал с уеб програмиране знае, каква напаст са тези масирани, спам коментари и защо вече почти навсякъде е нужно да се прибягва към мерки от сорта на "напишете кода от картинката", за да се спаси от тях. Решавам, че ако на оня му се наложи непрестанно да трие маса коментари, накрая ще се види принуден да се откаже от откраднатите статии.
    Хвърлям един поглед на кода на страниците на лошите, виждам имената на променливите и пиша една java дето ще праща POST заявки до безкрай. Разбира се заниманието не върви гладко - трябва да се заобикалят защити. Онзи използва WordPress - което от една страна е добре, затощо е opensource и аз свалям кода и започвам да го разглеждам, ама скоро започва да ме домързява, а и казано честно много не си падам по PHP. Затова просто се връщам на написаната java, слагам разни хитрини, за да се правят леки промени в коментарите всеки път, защото се прави проверка за дублиращи се коментари, послед добавям приспиване на нишката за 15 сек, че и по време има някаква защита. Накрая нещото работи, къде с пълен, къде не толкова пълен успех и през следващите дни наистина успявам да наводня лошия сайт. Онзи трие коментари. Ето техниката на пращане на POST заявки през java:

public static void sendPostRequest() {

// Build parameter string
String data = "param1=paramValue&param2=param2Value;
try {

// Send the request
URL url = new URL("сайтът на лошите");
URLConnection conn = url.openConnection();
conn.setDoOutput(true);
OutputStreamWriter writer = new OutputStreamWriter(conn
.getOutputStream());

// write parameters
writer.write(data);
writer.flush();

// Get the response
StringBuffer answer = new StringBuffer();
BufferedReader reader = new BufferedReader(new InputStreamReader(
conn.getInputStream()));
String line;
while ((line = reader.readLine()) != null) {
answer.append(line);
}
writer.close();
reader.close();

// Output the response
System.out.println(answer.toString());

} catch (MalformedURLException ex) {
ex.printStackTrace();
} catch (IOException ex) {
ex.printStackTrace();
}
}

Английско-български и българо-английски речник за линукс

Говорейки за линукс всъщност имам конкретно предвид Ubuntu, но не виждам защо казаното тук не би важало и в общия случай.

Става дума за KBE Dictionary:
http://kbedic.sourceforge.net/

Детайлна демонстрация на инсталирането за Ubuntu през Synaptic е показана тук:
http://skss.learnfree.eu/archives/62

При инсталацията обаче възниква едно усложнение. Както бива споменато на цитирания сайт, по време на инсталацията трябва да изникне въпроса дали да бъдат "изтеглени речниците". Този въпрос не възникава и причаната е следната:
http://ftp1.sourceforge.net/kbedic/kbedic-4.0.tar.gz
или с други думи поради нещо адресът не отговаря. При стартирането си речникът търси data файловете en_bg.dat и bg_en.dat и не ги намира - защото тях ги няма.

Предполагам има някаква причина да ги няма, но нямам представа. Това, което нас ни интересува е речника - работещ. Може да се направи следното:

Изтегляте от архива (http://sourceforge.net/project/showfiles.php?group_id=12724) въпросните файлове, записвате ги на диска, след това в /home/<username>/.kbedic (ако няма такъв файл, го създавате с текстов редактор) посочвате къде се намират.

Най-простият вариант (вариантът е същият, просто съм спестил някои от немногото стъпки) е да свалите само това, което ви трябва от тук:
kdedic_data

• Сваляте архива bkedic.tar и го записвате в /home/<username>/ - директорията си - ако го запишете някъде другаде ще е необходимо след това да го преместите във въпросната директория или - както ще стане дума - да опишете пътя до новата директория в .kbedic.
• Разархивирате.
• В /home/<username>/ трябва да се е появила папка kbedic, която съдържа 3 файла: bg_en.dat, en_bg.dat, .kbedic. За да видите третия файл, който е скрит, трябва да натиснете ctrl + h.
• Отваряте .kbedic с текстов редактор.
• Той изглежда така:

DataDir=/home/<username>/kbedic/
FontName=Sans Serif
FontSize=10
FontWeight=50
FontItalic=false

Същественият ред в случая е първия. Подменяте <username> с логин името си или просто копирате текущия адрес от файловия браузер така че DataDir=адреса, където сте в момента.

• Запаметявате файла, след което го премествате в горната директория (/home/<username>)
• Отваряте терминала и стартирате речника с kbedic

Това е.