不过是去便利店买了个泡面,居然穿越到了异世界。一次意外的去世,发现自己拥有了死亡后读档的技能…原来,世界线分支交错复杂,不同的世界线里发生着不同的故事…

0x00 进程

进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在当代面向线程设计的计算机结构中,进程是线程的容器。程序是指令、数据及其组织形式的描述,进程是程序的实体。

来自百度百科词条

进程就像是一个个世界线的分支,各自发生着不同的故事,但又是相互关联的。

我们运行的每一个程序,系统都会为它创建一个进程,然后分配内存和堆栈,装入程序的指令,并执行它们。如果我们要在自己的程序里调用其他的程序,就需要向系统申请创建子进程,重复执行上述的初始化操作。那么进程应该如何创建呢?

0x01 创建进程

在Linux的世界里,我们可以利用fork()函数或者vfork()函数来创建新的子进程。代码如下所示:

pid_t child = fork();
if (child == 0) {
    // 子进程
} else {
    // 父进程继续执行
}

有趣的事情来了,父子进程居然通过一个if条件区分了!因为子进程拥有和父进程的一样的数据空间、堆和栈等,并以副本的形式存在。代码从fork()开始,被一分为二,分别在不同的进程继续执行。其中,fork()的返回值child变量,在子进程中获取到的是0,而在父进程获取到的是子进程PID。

与fork()不同的是,vfork()创建的子进程会和父进程共享数据段,另外,vfork()会保证在_exit()和exec()类函数执行前,子进程先运行。

0x02 进程调度

为了更好的理解进程的工作原理,先来简单的了解一下系统调度进程的方式。

现代操作系统可以同时运行多个程序,但从操作系统的视角来看,CPU是个菜鸡,一次只能执行一个程序(如单核CPU)。那如果要同时运行程序怎么办?没错,换多核处理器!EPYC 7742了解一下?64核128线程…

你的钱包还好吗?

显然,简单的堆硬件是不合理的。操作系统需要解决的问题便是,如何让多个程序同时有序的执行,但又要让用户觉得他们是同时执行。于是操作系统引入了一个调度概念:

操作系统将进程的分成三种状态:

  • 就绪 :程序等待系统唤醒 。(你在这待着别动,我去给你买橘子。)
  • 执行:程序正常执行。(动,自己动,使劲儿动!)
  • 阻塞:程序由于自身I/O需要,将控制权交出给I/O设备,等待返回。

就绪状态时,进程都是不会占用CPU的,处于休眠状态,等待操作系统唤醒。操作系统会对时间进行划分成一个个区间,称作时间片。当某个进程获得时间片后,操作系统就会唤醒它,进入执行状态;时间片用完了,系统就会令其休眠,进入就绪状态;如此往复,不同的进程均在某段时间获取了时间片并执行,于是均达到了运行的目的。由于这个过程非常的快,用户直观上几乎无法察觉它的存在,即所有的进程的“同时”运行的。

0x03 输入输出

当你在Terminal使用键盘输入文字的时候,你的输入将被送入程序的基本输入流(STDIN)缓冲区,再经由程序处理,并将结果输出到基本输出流(STDOUT)。操作系统默认为你的程序分配了三个标准的流:STDIN、STDOUT和STDERR,它们的文件描述符(File Descriptor)是0、1和2。

判题机内核要想接管程序的输入输出,就需要将这几个默认的流重定向。Linux系统为我们提供了dup2函数:

#include <unistd.h>

int dup2(int oldfd, int newfd);

通过参数名,很容易知道这个函数传入两个文件描述符,oldfd将会替换newfd。因此,判题机内核要做的工作就是打开一个测试数据的输入文件,和一个临时文件,并将它们分别重定向到子进程的STDIN和STDOUT中。

int fd_in = open("./testcase.in", O_RDONLY);
int fd_out = open("/tmp/user.out", O_RDWR);

dup2(fd_in, STDIN_FILENO);    // STDIN_FILENO  == 2
dup2(fd_out, STDOUT_FILENO);  // STDOUT_FILENO == 1

此时,程序的输入将从testcase.in文件读入,输出内容将可以在user.out文件获取。你还可以将STDERR_FILENO重定向到一个文件,以便接收程序在STDERR流输出的内容。注意,由于open方法是一个非常底层的文件操作,user.out文件在反复写入的时候,只会从头覆盖特定长度的内容,而不是清空整个文件后再写入。例如程序A输出了10个字节,程序B输出了4个字节,覆盖操作下,程序B运行结束后,user.out文件依然是10个字节,只是前4个字节被覆盖。因此,在每次执行判题前,需要先将user.out文件删除,确保输出结果是正常的。

0x04 等待进程退出

判题内核的一个关键目标就是,必须能够监控被测程序的开始和结束。

通过第一节我们了解到,父进程可以创建子进程并在子进程运行外部程序。但不知道你有没有注意到,如果我们要实现一个判题内核,在启动新的进程后,父进程就必须停下来,等待子进程结束后,才能继续工作,收集被测程序的运行信息等。这时候就要用到wait()系列的函数了。

wait函数有很多个兄弟姐妹,常用的如wait()、waitpid()、wait3()和wait4()等。它们共同的作用就是阻塞父进程,等待子进程的结束。

wait()函数会阻塞原程序并等待任意一个子进程退出,而waitpid()可以指定等待的子进程PID。不过,这两个我们都不用,因为他们都不能取到程序的运行信息。

pid_t wait4(pid_t pid, int *status, int options, struct rusage *rusage);

wait4解决了这个问题,它为我们带来了四个参数:

  • pid_t pid:等待的进程
  • int *status:接收进程退出的状态信息
  • int options:设置等待方式
    • WUNTRACED:除了返回终止子进程的信息外,还返回因信号而停止的子进程信息。
    • WCONTINUED:返回那些因收到SIGCONT信号而恢复执行的已停止子进程的状态信息。
    • WNOHANG:如果参数pid所指定的子进程并未发生状态变化,则立即返回不会阻塞。这种情况下waitpid返回0
  • struct rusage *rusage:获取运行的资源信息。

要获取进程的运行资源信息,我们可以rusage返回的数据来获取。要获取进程的退出状态,可以用WIFEXITED(status)和WIFSIGNALED(status)来判断,前者判定进程是正常退出的,可以使用WEXITSTATUS(status)获取退出代码[1],后者判定进程是以信号方式终止[2],可以通过WTERMSIG(status)获取退出时的信号。通过对这些数据的分析,我们可以得知进程是以什么方式退出的,从而作出正确的判定。这些会在后续的文章中进行介绍。

0x05 小结

本文从进程的概念着手,对判题机核心中最重要的功能的实现进行简述,为后续开发完整的判题机核心奠定理论基础。下一节,我会就判题机如何判断TLE、MLE和OLE等判定进行分析。

一些备注

[1] 在你学C语言的课上,老师肯定建议你main函数结尾加上return 0; 当你产生了很多的问号,老师会跟你说不用管这个0是什么意思,写就是了。这个main函数的返回值0就是退出代码,表示正常退出,如果是负数,则说明程序异常退出了。显然,你可以自定义这个退出代码。
[2] Linux系统中通过信号(signal)机制来传递消息,在软件层模拟了一个中断(软中断)。当进程收到信号的时候,默认是会终止运行。你可以在程序中编写相关函数来捕获信号,并选择终止程序或者忽略信号。

文章引用

https://www.dazhuanlan.com/2019/12/26/5e0426c13920a
https://man7.org/linux/man-pages/man2/dup2.2.html

姐姐大人,姐姐大人,你用过在线代码评测工具吗?
蕾姆,蕾姆,用过呢,真好用,给我也整一个……

0x00 我为什么要开发OJ?

在线判题系统(Online Judge)是一种在编程竞赛中用来测试参赛程序的在线系统,也可以用于平时练习。

相信参加过ACM-ICPC、IO的童鞋们都对它不陌生吧,那个偶尔让你产生许许多多的小问号,想AC却又不停的WA,做题做到停不下来的系统。

五年前,作为前ACM校队队员,在深感自己太菜的技术后,一次突发奇想和老师讨论起了怎么把OJ用到教学中去,让学弟学妹们也被折腾一下(这句划掉),从此给自己挖了一个巨大的坑。

0x01 OJ是怎么工作的?

小学二年级的知识告诉我们,你输入的代码,会被OJ的判题机编译、运行。判题机将通过控制程序的标准输入流,模拟你的输入操作。当程序运行结束后,从标准输出流获取到的数据,即是你程序的答案,然后将它与标准答案进行比较。

当然,如果程序在一开始就错了,或者在运行过程中出现了错误,又或者超出了题目设定的资源限制,那么你也会得到相对于的错误提示,供你排查问题。

通常意义上,OJ的判断非常严格,错一个字都是错,少个空格也是错。所以很多时候,折腾了半天,结果跑完第一组数据过了,第二组数据又超时…

0x02 这就是我要整学弟学妹的理由?

没错,人要经历挫折,有挫折才会有成长,才会明白做啥都好不要做程序员啊

这种基于黑盒测试的代码评测模式在ACM-ICPC竞赛中最为常见,具有如下优点:

  1. 判题程序开发难度较低。
  2. 判题程序主要实现进程监控和数据直接比对,运行效率高,占用资源低。
  3. 测试数据易于构造和编辑,可以通过标程(相当于参考答案)生成。
  4. 兼容多语言多平台,扩展性强。

那么,具有以上优点的系统,又是为何被老师和同学边用边骂骂咧咧的呢?究竟是道德的沦丧,还是人性的弱点?不,是系统的缺点:

  1. 测试数据均为静态数据,仅使用“运行结果”来判定代码正误。判题太过于严格了,动不动就WA,同学们的心态都炸了。求A+B问题 数据输入:1 1 答案输出:2 同学:我输出文字『1+1=2』,为什么判我错? 判题机:你哪那么多废话呢,输出『2』不就好了?
  2. 无法进行代码分支预测,无法判定代码是否符合题目要求,无法检测暴力过题的情况。
  3. 系统设计初衷是面对编程初学者用户练习,黑盒测试不能直观反映代码存在一些问题,如:数组或变量未初始化、循环不能跳出和条件语句结构臃肿等等。

上述问题都解决了吗?好吧我承认,并不好解决,于是有了很多很多折中的方案。但这些并不是本系列文章想要讨论的事儿,如果上述问题在技术上有好的建议,非常欢迎你和我一起探讨。

0x03 问题都没解决,写啥系统呀?

问题来了,先有鸡还是先有蛋?系统都没有,解决啥问题?咱也不能老是下半年中美合拍呀就解决问题了呀,啥事都得自己搞搞才能进步嘛

万事开头难,但也最怕是遇到问题不百度直接自己闷声捣鼓的,对,说的就是不才的本人了。我才不会告诉你我当年的OJ整了好几次大版本,每次都是重新来过的(也就是把原来的技术方案否了)。

通过不断的积累,不断的试错,才有了今天的WeJudge系统的技术体系。也许在众多大公司开发的OJ相比起来,它像是一个初来乍到的新同学。我希望通过这篇文章,与你分享关于她的故事。

0x04 关于WeJudge

当年1个月时间开发出来的0.3,到半年后的1.0,再过一年的2.0,再到后面将近三年时间3.0正式发布。我从一个人孤军奋战到2.0,到现在3.0是我带两个学弟一起搞,前前后后经历了太多了。虽然她一分钱都没赚,靠的是学校提供的服务器和网络,基本上用爱发电,但我相信开发她的过程本身就是一种成长。

如果未来有一天,我们确实运营不起她了,也许会在github上看到她完整的样子,在此之前,我们依然在努力。

我在github上开源了判题机相关代码,未来也将会分享更多的东西。

判题机:https://github.com/LanceLRQ/deer-executor (参考dojiong/Lo-runner)

1.0版源程序:https://github.com/LanceLRQ/wejudge

3.0 网站:https://oj.bnuz.edu.cn ,未来计划重新用回 wejudge.net

0x05 未来我会谈谈什么呢?

很久很久以前就一直在想把自己的技术经验、经历写出来分享,也好回顾一下这些年走过的路。因为一些生活、找工作失利等诸多的原因,可能自己在心态有些不太好,感觉技术上停滞不前了。所以打算写一些文章,努力让自己回忆起那些年努力去为梦想奋斗的日子吧。

我将会围绕以判题机为中心,一步步阐述规划、设计和开发一套完整的在线判题系统所涉及到的问题,以及我的想法、看法、解法。新人一个,有说的不足的地方还请大神们多多指教。毕业快两年了,业余时间一直在参与这个项目开发。

如果你有兴趣阅读这个系列的文章,你需要有一些数据结构、算法和操作系统的基础,并了解C语言、Go语言或风格和C语言类似的语言的语法格式。文章主要是阐述思路,不会实际的业务代码,并且我也会尽量把原理说的简单一些。难免会有不专业的词汇或比喻,还请见谅。

0x06 实战回顾

2020年04月,顺利举办“2020年粤澳计算机程序设计大赛网络赛”。回顾参考:

https://www.zhihu.com/question/390424213/answer/1179758442

0x01 前言

  跨域是前端开发中一个老生常谈的问题。 当今日益复杂的应用场景下,经常会遇到在不同子域名下的不同Web应用访问同一个专用API服务的情况。然而出于安全性考虑,非同源的Ajax请求会被浏览器拦截,导致这一请求失败,无法正常工作。

0x02 跨域策略

  什么是同源?为什么Ajax只能同源访问?

  所谓同源,是指“协议+域名+端口 ”三者相同,即便两个不同的域名指向同一个IP地址,也非同源。以下域名均互为不同源:

http://www.abc.com/xxx
http://abc.com/xxx
http://abc.com:8080/xxx
http://www.abc.com:8080/xxx
https://www.abc.com/xxx

  同源策略(SOP, Same origin policy)是一种约定,由Netscape公司1995年引入浏览器,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。受到同源策略的约定,当请求非同源的资源时,浏览器将会自动拦截一下资源的请求:

  • AJAX 请求
  • DOM 和 Js对象操作(一般是<frame>、<iframe>或者是window.open创建的新窗口等)
  • Cookie、LocalStorage 和 IndexDB

0x03 跨域传递信息解决方案

1. JSONP —— 一个常见的跨域解决办法

  JSONP说白了就是利用<script>标签的src属性可以跨域(比如你引用了某个CDN上的jQuery之类的是可以的),请求一段脚本,脚本内容只有一个函数的调用。当它被加载的时候,这个函数调用实际上就是调用了目标页面上的函数,从而目标页面获取到服务器生成数据内容。

 <script>
    var script = document.createElement('script');
    script.src = 'http://www.abc.com/hello?callback=helloWorld';
    document.head.appendChild(script);
    // 当脚本被加载成功时,这个函数会被调用
    var helloWorld = function(res) {
        console.log(res); 
    }
 </script>

  而http://www.abc.com/hello这个接口返回的内容如下

helloWorld({"msg" : "Hello World!"});

  jQuery等框架内对JSONP的操作也基本如此,不做赘述。

2. iframe

  document.domain + iframe:利用两个页面同时设置相同的document.domain值来实现强行同源

<!--父页面 http://www.abc.com/-->
<iframe id="iframe" src="http://hello.abc.com/a.html"></iframe>
<script>
    document.domain = 'abc.com';
    var msg = 'Hello World!';
</script>
<!--子页面 http://hello.abc.com/a.html-->
<script>
    document.domain = 'abc.com';
    console.log(window.parent.msg);
</script>

  location.hash + iframe:如通过http://www.abc.com/xxx#hello=world请求子页面。子页面解析传入的location.hash的值即#hello=world,获取父页面传递的内容。这个方法局限性显而易见。

  window.name:也是一种奇特的办法,支持传递更多的内容。

3. postMessage

  HTML5新增的跨域传递信息的办法,参考:
https://developer.mozilla.org/zh-CN/docs/Web/API/Window/postMessage

0x04 跨域资源共享——CORS

  终于说到这个重头戏了:跨域资源共享(Cross-Origin Resource Sharing, CORS)

  它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了只能同源使用的限制。它需要服务器和浏览器同时支持,比如IE10以下的就免了吧。由于真个通信过程都是浏览器自动完成的,用户几乎感知不到它的存在。

  就以我的WeJudge项目为例:主站是www.wejudge.net,API接口的域名是api.wejudge.net,比赛服域名是contest.wejudge.net。对于绝大多数的API的请求,必定是需要带上Cookie信息来让服务器获知当前用户的Session和登录状态。

  此时,我需要为Axios的全局设定中加入withCredentials选项表示需要发送一个复杂的请求。由于是非同源请求,浏览器会预先向服务器发起OPTIONS方法的“预检”请求,以判断这个请求是否能够被执行。“预检”请求包括以下字段:

  • Access-Control-Request-Method 必填字段,指定有效的请求方法。如:GET
  • Access-Control-Request-Headers 可选字段,指定浏览器CORS请求会额外发送的头信息字段。

  这时候,服务器就需要作出一个正确的应答来告知浏览器这个跨域操作是合法的。我们先来了解几个常用的响应头字段:

  1. Access-Control-Allow-Origin 必填字段,它的值要么是请求时Origin字段的值,要么是一个*,表示接受任意域名的请求。
  2. Access-Control-Allow-Credentials 可选字段,它的值是一个布尔值,表示是否允许发送Cookie。
  3. Access-Control-Allow-Methods 必填字段,表示支持的请求方法,多个以逗号分隔。
  4. Access-Control-Allow-Headers 可选字段,表示支持的请求头字段,多个以逗号分隔。
  5. Access-Control-Max-Age 用来指定本次预检请求的有效期,单位为秒。

  我们注意到一个问题, 当Access-Control-Allow-Credentials为true的同时,Access-Control-Allow-Origin被设置为*,出于安全性考虑,请求将被浏览器拒绝。而Access-Control-Allow-Origin不能用逗号等方式设定多个可用的源域名,如何进行跨域也就是接下来要讨论如何解决的一个问题。

  通过Nginx的配置文件,我们可以读取到请求头中的origin字段,并对其进行处理。如果源符合特定规则,则将其作为Access-Control-Allow-Origin的值发回给浏览器,从而使得跨域请求被正常处理。当然这个操作也可以在服务端程序上实现,但如果使用Nginx进行拦截处理,性能要更优于在其他服务端处理,毕竟我们希望服务端能够做更多适合它的事情,而不是做这些“杂活儿 ”。

  下面给出了一段Nginx配置,希望能对你有一些启发:

set $cors '';
set $cors_domain '';
set $access_origin '';
set $access_methods '';
set $access_age '';
set $access_headers '';
set $access_cred '';
if ($http_origin != '') {
        set $cors_domain 'forbid';
}
# 判断来源域名是否符合要求
if ($http_origin ~ '^https?://(.*?\.)?(domain.com||domain2.net)(\:\d{0,5})?$') {
        set $cors 'true';
        set $cors_domain 'yes';
}
# 如果来源域名不符合要求,则拒绝本次响应
if ($cors_domain = 'forbid') {
        add_header Content-Type 'text/plain';
        return 403 "Forbidden.";
}
if ($request_method = 'OPTIONS') {
        set $cors 'options';
}
# 如果是正常请求
if ($cors = 'true') {
        set $access_origin '$http_origin';
        set $access_cred 'true';
}
# 如果是预检请求
if ($cors = 'options') {
        set $access_origin '$http_origin';
        set $access_methods 'GET,POST,PUT,DELETE,OPTIONS';
        set $access_age '86400';
        set $access_cred 'true';
        set $access_headers 'Origin, Content-Type, X-Requested-With,Cache-Control,Content-Language,Expires,Last-Modified,Pragma';
        return 204;
}

add_header Access-Control-Allow-Origin "$access_origin" always;
add_header Access-Control-Allow-Credentials "$access_cred" always;
add_header Access-Control-Allow-Methods "$access_methods" always;
add_header Access-Control-Max-Age "$access_age" always;
add_header Access-Control-Allow-Headers "$access_headers" always;

  至此,跨域问题得到了较为全面的解决。当然,如果你愿意,可以把它配置得更加安全,顺便防范常见的XSS、CSRF攻击。

请求返回了正确的CORS头

如果你想要了解更加详细的内容,可以阅读阮一峰大神的博客。

参考文献:《跨域资源共享 CORS 详解》,阮一峰

http://www.ruanyifeng.com/blog/2016/04/cors.html