跳至主要內容

KSJ

——「」

自动机
自动机
智能车循迹
北京邮电大学创新创业智能车循迹python版
CORS(跨域资源共享)

CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种浏览器的安全机制,用于允许服务器声明哪些源可以访问资源,从而实现跨域访问控制。

为什么需要 CORS

浏览器的同源策略(Same-Origin Policy)限制了不同源之间的资源访问,防止恶意网站窃取数据。但实际开发中,前后端分离、API 网关等场景常常需要跨域访问,这时就需要 CORS。

CORS 工作原理

  1. 预检请求(OPTIONS):对于非简单请求,浏览器会先发送 OPTIONS 请求,询问服务器是否允许跨域。
  2. 响应头:服务器通过设置 Access-Control-Allow-OriginAccess-Control-Allow-MethodsAccess-Control-Allow-Headers 等响应头,告知浏览器允许的跨域策略。
  3. 实际请求:预检通过后,浏览器才会发送实际的跨域请求。

KSJ大约 2 分钟前端
CSRF(跨站请求伪造)

CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,攻击者诱导已登录受信任网站的用户,在不知情的情况下发送恶意请求,从而在用户已认证的情况下执行非本意的操作。

原理

攻击者通过构造与受害网站相同的请求,诱导用户点击链接或访问页面,利用用户已登录的身份在后台发起请求,达到攻击目的。

错误编码示例

如下是易受 CSRF 攻击的 Kotlin 后端代码示例:

// 未做任何 CSRF 防护的 Spring Controller
@RestController
class TransferController {

    @PostMapping("/transfer")
    fun transfer(
        @RequestParam to: String,
        @RequestParam amount: Int
    ): String {
        // 直接处理转账请求,未校验 CSRF Token
        // 实际业务逻辑略
        return "转账成功"
    }
}

KSJ大约 1 分钟安全
XSS(跨站脚本攻击)

XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过在网页中注入恶意脚本,使脚本在用户浏览器中执行,从而窃取用户信息、冒充用户操作等。

分类

XSS 攻击主要分为三类:

1. 反射型 XSS

攻击代码作为请求参数提交,服务器端将其原样返回并在页面中立即执行。

示例:

https://example.com/search?q=<script>alert('xss')</script>

KSJ大约 2 分钟安全
markdown-folding

笔者在使用vscode 编写md时,发现子标题 or 代码块过长,但无法折叠,又在agicy的教唆下,于是决定在假期后开发此插件。

Create Project

TS yyds, 这里创建项目后选择第一个, 不知道怎么创建的看这里忽略警告

名字就叫markdown-folding


KSJ大约 1 分钟
第十五届大学生数学竞赛第六题解析

由于今天要备战第十六届,故把第十五届的题做了一下。 其中第六大题(最后一题)的题解比较抽象(“注意到”,是我注意力涣散了), 如下给出一种更容易理解的思路过程。


KSJ大约 1 分钟
福祸相依

今日打金铲铲时,收菜爆了两个铲子,选秀抢了一个铲子,文章之书开出皮城转。最终极限开出九皮城。但由于手忙脚乱的(qWq),导致五费被抢光, 靠着霸王龙打赢了三星老司机及三星大剑魔。 最终用无数妮蔻硬捏的三星狐狸, 人死了一些后又捏了大头, 手速慢了点塞纳没捏完(以及忘记了可以捏大悲)。

是所谓——福祸相依。

alt text
alt text

KSJ小于 1 分钟