笔试总结（2019腾讯春招）

立下FLAG的第二周其实又什么都没做，笔试也做的越来越水，但即便是应付，也得应付一篇文章出来。所以把笔试中不会的题目记录一下。

---

1. CSRF防护方法

CSRF的百度百科解释

CSRF(Cross-site request forgery，跨站请求伪造)，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

防护方法
引用自安全|常见的Web攻击手段之CSRF攻击

1. 尽量使用POST，限制GET
2. 将cookie设置为HttpOnly
3. 增加token
4. 通过Referer识别

引用自当前防御 CSRF 的几种策略

1. 验证 HTTP Referer 字段
2. 在请求地址中添加 token 并验证
3. 在 HTTP 头中自定义属性并验证

2. 递归算法的时间复杂度

本来以为有个通式啥的，看起来有点复杂，先占个坑。。。

3.盒模型设置什么属性可以显示背景

这个问题我并没有理解，也没有直接搜到答案，先占坑。。。