CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种浏览器的安全机制,用于允许服务器声明哪些源可以访问资源,从而实现跨域访问控制。
浏览器的同源策略(Same-Origin Policy)限制了不同源之间的资源访问,防止恶意网站窃取数据。但实际开发中,前后端分离、API 网关等场景常常需要跨域访问,这时就需要 CORS。
Access-Control-Allow-Origin、Access-Control-Allow-Methods、Access-Control-Allow-Headers 等响应头,告知浏览器允许的跨域策略。CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种攻击方式,攻击者诱导已登录受信任网站的用户,在不知情的情况下发送恶意请求,从而在用户已认证的情况下执行非本意的操作。
攻击者通过构造与受害网站相同的请求,诱导用户点击链接或访问页面,利用用户已登录的身份在后台发起请求,达到攻击目的。
如下是易受 CSRF 攻击的 Kotlin 后端代码示例:
// 未做任何 CSRF 防护的 Spring Controller
@RestController
class TransferController {
@PostMapping("/transfer")
fun transfer(
@RequestParam to: String,
@RequestParam amount: Int
): String {
// 直接处理转账请求,未校验 CSRF Token
// 实际业务逻辑略
return "转账成功"
}
}
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过在网页中注入恶意脚本,使脚本在用户浏览器中执行,从而窃取用户信息、冒充用户操作等。
XSS 攻击主要分为三类:
攻击代码作为请求参数提交,服务器端将其原样返回并在页面中立即执行。
示例:
https://example.com/search?q=<script>alert('xss')</script>
笔者在使用vscode 编写md时,发现子标题 or 代码块过长,但无法折叠,又在agicy的教唆下,于是决定在假期后开发此插件。
TS yyds, 这里创建项目后选择第一个,
不知道怎么创建的看这里。
忽略警告
名字就叫markdown-folding
由于今天要备战第十六届,故把第十五届的题做了一下。 其中第六大题(最后一题)的题解比较抽象(“注意到”,是我注意力涣散了), 如下给出一种更容易理解的思路过程。
今日打金铲铲时,收菜爆了两个铲子,选秀抢了一个铲子,文章之书开出皮城转。最终极限开出九皮城。但由于手忙脚乱的(qWq),导致五费被抢光, 靠着霸王龙打赢了三星老司机及三星大剑魔。 最终用无数妮蔻硬捏的三星狐狸, 人死了一些后又捏了大头, 手速慢了点塞纳没捏完(以及忘记了可以捏大悲)。
是所谓——福祸相依。
参考