立下FLAG的第二周其實(shí)又什么都沒做趴梢,筆試也做的越來越水酣藻,但即便是應(yīng)付,也得應(yīng)付一篇文章出來藐鹤。所以把筆試中不會(huì)的題目記錄一下。
1. CSRF防護(hù)方法
CSRF的百度百科解釋
CSRF(Cross-site request forgery赂韵,跨站請(qǐng)求偽造)娱节,也被稱為“One Click Attack”或者Session Riding,通臣朗荆縮寫為CSRF或者XSRF肄满,是一種對(duì)網(wǎng)站的惡意利用。盡管聽起來像跨站腳本(XSS)质涛,但它與XSS非常不同稠歉,XSS利用站點(diǎn)內(nèi)的信任用戶,而CSRF則通過偽裝成受信任用戶的請(qǐng)求來利用受信任的網(wǎng)站汇陆。與XSS攻擊相比怒炸,CSRF攻擊往往不大流行(因此對(duì)其進(jìn)行防范的資源也相當(dāng)稀少)和難以防范,所以被認(rèn)為比XSS更具危險(xiǎn)性毡代。
防護(hù)方法
引用自安全|常見的Web攻擊手段之CSRF攻擊
- 盡量使用POST阅羹,限制GET
- 將cookie設(shè)置為HttpOnly
- 增加token
- 通過Referer識(shí)別
- 驗(yàn)證 HTTP Referer 字段
- 在請(qǐng)求地址中添加 token 并驗(yàn)證
- 在 HTTP 頭中自定義屬性并驗(yàn)證
2. 遞歸算法的時(shí)間復(fù)雜度
本來以為有個(gè)通式啥的,看起來有點(diǎn)復(fù)雜教寂,先占個(gè)坑捏鱼。。酪耕。
3.盒模型設(shè)置什么屬性可以顯示背景
這個(gè)問題我并沒有理解导梆,也沒有直接搜到答案,先占坑迂烁。看尼。。
