笔试总结(2019腾讯春招)

立下FLAG的第二周其实又什么都没做,笔试也做的越来越水,但即便是应付,也得应付一篇文章出来。所以把笔试中不会的题目记录一下。


1. CSRF防护方法

CSRF的百度百科解释

CSRF(Cross-site request forgery,跨站请求伪造),也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。

防护方法
引用自安全|常见的Web攻击手段之CSRF攻击

  1. 尽量使用POST,限制GET
  2. 将cookie设置为HttpOnly
  3. 增加token
  4. 通过Referer识别

引用自当前防御 CSRF 的几种策略

  1. 验证 HTTP Referer 字段
  2. 在请求地址中添加 token 并验证
  3. 在 HTTP 头中自定义属性并验证

2. 递归算法的时间复杂度

本来以为有个通式啥的,看起来有点复杂,先占个坑。。。

3.盒模型设置什么属性可以显示背景

这个问题我并没有理解,也没有直接搜到答案,先占坑。。。

你可能感兴趣的:(笔试总结(2019腾讯春招))