立下FLAG的第二周其实又什么都没做,笔试也做的越来越水,但即便是应付,也得应付一篇文章出来。所以把笔试中不会的题目记录一下。
1. CSRF防护方法
CSRF的百度百科解释
CSRF(Cross-site request forgery,跨站请求伪造),也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
防护方法
引用自安全|常见的Web攻击手段之CSRF攻击
- 尽量使用POST,限制GET
- 将cookie设置为HttpOnly
- 增加token
- 通过Referer识别
- 验证 HTTP Referer 字段
- 在请求地址中添加 token 并验证
- 在 HTTP 头中自定义属性并验证
2. 递归算法的时间复杂度
本来以为有个通式啥的,看起来有点复杂,先占个坑。。。
3.盒模型设置什么属性可以显示背景
这个问题我并没有理解,也没有直接搜到答案,先占坑。。。
网友评论