论坛
BBS
空间测绘
发表
发布文章
提问答疑
搜索
您还未登录
登录后即可体验更多功能
立即登录
我的收藏
提问答疑
我要投稿
漏洞
[8152] 2014-07-28_漏洞科普:对于XSS和CSRF你究竟了解多少
文档创建者:
s7ckTeam
浏览次数:
36
最后更新:
2025-01-17
漏洞
36 人阅读
|
0 人回复
s7ckTeam
s7ckTeam
当前离线
积分
-54
6万
主题
-6万
回帖
-54
积分
管理员
积分
-54
发消息
2014-07-28_漏洞科普:对于XSS和CSRF你究竟了解多少
漏
洞
科
普
:
对
于
X
S
S
和
C
S
R
F
你
究
竟
了
解
多
少
猫
友
F
r
e
e
B
u
f
2
0
1
4
-
0
7
-
2
8
随
着
随
着
W
e
b
2
.
0
、
社
交
网
络
、
微
博
等
等
一
系
列
新
型
的
互
联
网
产
品
的
诞
生
,
基
于
、
社
交
网
络
、
微
博
等
等
一
系
列
新
型
的
互
联
网
产
品
的
诞
生
,
基
于
W
e
b
环
境
的
互
联
网
应
用
越
来
越
广
泛
,
企
业
环
境
的
互
联
网
应
用
越
来
越
广
泛
,
企
业
信
息
化
的
过
程
中
各
种
应
用
都
架
设
在
信
息
化
的
过
程
中
各
种
应
用
都
架
设
在
W
e
b
平
台
上
,
平
台
上
,
W
e
b
业
务
的
迅
速
发
展
也
引
起
黑
客
们
的
强
烈
关
注
,
接
踵
而
至
的
就
是
业
务
的
迅
速
发
展
也
引
起
黑
客
们
的
强
烈
关
注
,
接
踵
而
至
的
就
是
W
e
b
安
全
威
胁
的
凸
显
。
安
全
威
胁
的
凸
显
。
黑
客
利
用
网
站
操
作
系
统
的
漏
洞
和
W
e
b
服
务
程
序
的
S
Q
L
注
入
漏
洞
等
得
到
W
e
b
服
务
器
的
控
制
权
限
,
轻
则
篡
改
网
页
内
容
,
重
则
窃
取
重
要
内
部
数
据
,
更
为
严
重
的
则
是
在
网
页
中
植
入
恶
意
代
码
,
使
得
网
站
访
问
者
受
到
侵
害
。
如
今
,
W
e
b
安
全
成
为
焦
点
,
但
网
站
的
漏
洞
还
是
频
频
出
现
,
在
白
帽
子
们
进
行
网
站
测
试
时
,
恐
怕
对
于
S
Q
L
注
入
、
X
S
S
跨
站
、
C
S
R
F
接
触
最
多
,
但
对
于
网
站
的
开
发
者
们
来
说
,
对
这
些
熟
知
多
少
?
本
文
从
开
发
者
的
角
度
,
对
于
X
S
S
和
C
S
R
F
进
行
简
要
概
述
。
P
A
R
T
1
X
S
S
跨
站
脚
本
(
跨
站
脚
本
(
C
r
o
s
s
-
s
i
t
e
s
c
r
i
p
t
i
n
g
)
)
X
S
S
成
因
概
括
成
因
概
括
:
:
X
S
S
其
实
就
是
H
t
m
l
的
注
入
问
题
,
攻
击
者
的
输
入
没
有
经
过
严
格
的
控
制
进
入
了
数
据
库
,
最
终
显
示
给
来
访
的
用
户
,
导
致
可
以
在
来
访
用
户
的
浏
览
器
里
以
浏
览
用
户
的
身
份
执
行
H
t
m
l
代
码
,
数
据
流
程
如
下
:
攻
击
者
的
H
t
m
l
输
入
—
>
w
e
b
程
序
—
>
进
入
数
据
库
—
>
w
e
b
程
序
—
>
用
户
浏
览
器
。
检
测
方
法
:
/
/
通
常
有
一
些
方
式
可
以
测
试
网
站
是
否
有
正
确
处
理
特
殊
字
符
:
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
>
=
'
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
>
"
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
d
o
c
u
m
e
n
t
.
c
o
o
k
i
e
)
<
/
s
c
r
i
p
t
>
<
s
c
r
i
p
t
>
a
l
e
r
t
(
v
u
l
n
e
r
a
b
l
e
)
<
/
s
c
r
i
p
t
>
%
3
C
s
c
r
i
p
t
%
3
E
a
l
e
r
t
(
'
X
S
S
'
)
%
3
C
/
s
c
r
i
p
t
%
3
E
<
s
c
r
i
p
t
>
a
l
e
r
t
(
'
X
S
S
'
)
<
/
s
c
r
i
p
t
>
<
i
m
g
s
r
c
=
"
j
a
v
a
s
c
r
i
p
t
:
a
l
e
r
t
(
'
X
S
S
'
)
"
>
<
i
m
g
s
r
c
=
"
h
t
t
p
:
/
/
x
x
x
.
c
o
m
/
y
y
y
.
p
n
g
"
o
n
e
r
r
o
r
=
"
a
l
e
r
t
(
'
X
S
S
'
)
"
>
<
d
i
v
s
t
y
l
e
=
"
h
e
i
g
h
t
:
e
x
p
r
e
s
s
i
o
n
(
a
l
e
r
t
(
'
X
S
S
'
)
,
1
)
"
/
>
(
这
个
仅
限
I
E
有
效
)
攻
击
手
段
和
目
的
攻
击
手
段
和
目
的
:
攻
击
者
使
被
攻
击
者
在
浏
览
器
中
执
行
脚
本
后
,
如
果
需
要
收
集
来
自
被
攻
击
者
的
数
据
(
如
c
o
o
k
i
e
或
其
他
敏
感
信
息
)
,
可
以
自
行
架
设
一
个
网
站
,
让
被
攻
击
者
通
过
J
a
v
a
S
c
r
i
p
t
等
方
式
把
收
集
好
的
数
据
作
为
参
数
提
交
,
随
后
以
数
据
库
等
形
式
记
录
在
攻
击
者
自
己
的
服
务
器
上
。
a
.
盗
用
c
o
o
k
i
e
,
获
取
敏
感
信
息
。
b
.
利
用
植
入
F
l
a
s
h
,
通
过
c
r
o
s
s
d
o
m
a
i
n
权
限
设
置
进
一
步
获
取
更
高
权
限
;
或
者
利
用
J
a
v
a
等
得
到
类
似
的
操
作
。
c
.
利
用
i
f
r
a
m
e
、
f
r
a
m
e
、
X
M
L
H
t
t
p
R
e
q
u
e
s
t
或
上
述
F
l
a
s
h
等
方
式
,
以
(
被
攻
击
)
用
户
的
身
份
执
行
一
些
管
理
动
作
,
或
执
行
一
些
一
般
的
如
发
微
博
、
加
好
友
、
发
私
信
等
操
作
。
d
.
利
用
可
被
攻
击
的
域
受
到
其
他
域
信
任
的
特
点
,
以
受
信
任
来
源
的
身
份
请
求
一
些
平
时
不
允
许
的
操
作
,
如
进
行
不
当
的
投
票
活
动
。
e
.
在
访
问
量
极
大
的
一
些
页
面
上
的
X
S
S
可
以
攻
击
一
些
小
型
网
站
,
实
现
D
D
o
S
攻
击
的
效
果
。
漏
洞
的
防
御
和
利
用
漏
洞
的
防
御
和
利
用
:
避
免
X
S
S
的
方
法
之
一
主
要
是
将
用
户
所
提
供
的
内
容
进
行
过
滤
,
许
多
语
言
都
有
提
供
对
H
T
M
L
的
过
滤
:
P
H
P
的
h
t
m
l
e
n
t
i
t
i
e
s
(
)
或
是
h
t
m
l
s
p
e
c
i
a
l
c
h
a
r
s
(
)
。
P
y
t
h
o
n
的
c
g
i
.
e
s
c
a
p
e
(
)
。
A
S
P
的
S
e
r
v
e
r
.
H
T
M
L
E
n
c
o
d
e
(
)
。
A
S
P
.
N
E
T
的
S
e
r
v
e
r
.
H
t
m
l
E
n
c
o
d
e
(
)
或
功
能
更
强
的
M
i
c
r
o
s
o
f
t
A
n
t
i
-
C
r
o
s
s
S
i
t
e
S
c
r
i
p
t
i
n
g
L
i
b
r
a
r
y
J
a
v
a
的
x
s
s
p
r
o
t
e
c
t
(
O
p
e
n
S
o
u
r
c
e
L
i
b
r
a
r
y
)
。
N
o
d
e
.
j
s
的
n
o
d
e
-
v
a
l
i
d
a
t
o
r
。
使
用
使
用
H
T
T
P
头
指
定
类
型
头
指
定
类
型
:
很
多
时
候
可
以
使
用
H
T
T
P
头
指
定
内
容
的
类
型
,
使
得
输
出
的
内
容
避
免
被
作
为
H
T
M
L
解
析
。
如
在
P
H
P
语
言
中
使
用
以
下
代
码
:
h
e
a
d
e
r
(
'
C
o
n
t
e
n
t
-
T
y
p
e
:
t
e
x
t
/
j
a
v
a
s
c
r
i
p
t
;
c
h
a
r
s
e
t
=
u
t
f
-
8
'
)
;
即
可
强
行
指
定
输
出
内
容
为
文
本
/
J
a
v
a
S
c
r
i
p
t
脚
本
(
顺
便
指
定
了
内
容
编
码
)
,
而
非
可
以
引
发
攻
击
的
H
T
M
L
。
P
A
R
T
2
C
S
R
F
:
冒
充
用
户
之
手
:
冒
充
用
户
之
手
示
意
图
:
X
S
S
是
实
现
C
S
R
F
的
诸
多
途
径
中
的
一
条
,
但
绝
对
不
是
唯
一
的
一
条
。
一
般
习
惯
上
把
通
过
X
S
S
来
实
现
的
C
S
R
F
称
为
X
S
R
F
。
C
S
R
F
顾
名
思
义
,
是
伪
造
请
求
,
冒
充
用
户
在
站
内
的
正
常
操
作
。
我
们
知
道
,
绝
大
多
数
网
站
是
通
过
c
o
o
k
i
e
等
方
式
辨
识
用
户
身
份
(
包
括
使
用
服
务
器
端
S
e
s
s
i
o
n
的
网
站
,
因
为
S
e
s
s
i
o
n
I
D
也
是
大
多
保
存
在
c
o
o
k
i
e
里
面
的
)
,
再
予
以
授
权
的
。
所
以
要
伪
造
用
户
的
正
常
操
作
,
最
好
的
方
法
是
通
过
X
S
S
或
链
接
欺
骗
等
途
径
,
让
用
户
在
本
机
(
即
拥
有
身
份
c
o
o
k
i
e
的
浏
览
器
端
)
发
起
用
户
所
不
知
道
的
请
求
。
要
完
成
一
次
C
S
R
F
攻
击
,
受
害
者
必
须
依
次
完
成
两
个
步
骤
:
1
.
登
录
受
信
任
网
站
A
,
并
在
本
地
生
成
C
o
o
k
i
e
。
2
.
在
不
登
出
A
的
情
况
下
,
访
问
危
险
网
站
B
。
看
到
这
里
,
你
也
许
会
说
:
“
如
果
我
不
满
足
以
上
两
个
条
件
中
的
一
个
,
我
就
不
会
受
到
C
S
R
F
的
攻
击
”
。
是
的
,
确
实
如
此
,
但
你
不
能
保
证
以
下
情
况
不
会
发
生
:
1
.
你
不
能
保
证
你
登
录
了
一
个
网
站
后
,
不
再
打
开
一
个
t
a
b
页
面
并
访
问
另
外
的
网
站
。
2
.
你
不
能
保
证
你
关
闭
浏
览
器
了
后
,
你
本
地
的
C
o
o
k
i
e
立
刻
过
期
,
你
上
次
的
会
话
已
经
结
束
。
(
事
实
上
,
关
闭
浏
览
器
不
能
结
束
一
个
会
话
,
但
大
多
数
人
都
会
错
误
的
认
为
关
闭
浏
览
器
就
等
于
退
出
登
录
/
结
束
会
话
了
…
…
)
3
.
上
图
中
所
谓
的
攻
击
网
站
,
可
能
是
一
个
存
在
其
他
漏
洞
的
可
信
任
的
经
常
被
人
访
问
的
网
站
。
上
面
大
概
地
讲
了
一
下
C
S
R
F
攻
击
的
思
想
,
下
面
我
将
用
几
个
例
子
详
细
说
说
具
体
的
C
S
R
F
攻
击
,
这
里
我
以
一
个
银
行
转
账
的
操
作
作
为
例
子
(
仅
仅
是
例
子
,
真
实
的
银
行
网
站
没
这
么
傻
:
>
)
示
例
示
例
1
:
:
银
行
网
站
A
,
它
以
G
E
T
请
求
来
完
成
银
行
转
账
的
操
作
,
如
:
h
t
t
p
:
/
/
w
w
w
.
m
y
b
a
n
k
.
c
o
m
/
T
r
a
n
s
f
e
r
.
p
h
p
?
t
o
B
a
n
k
I
d
=
1
1
&
m
o
n
e
y
=
1
0
0
0
危
险
网
站
B
,
它
里
面
有
一
段
H
T
M
L
的
代
码
如
下
:
<
i
m
g
s
r
c
=
h
t
t
p
:
/
/
w
w
w
.
m
y
b
a
n
k
.
c
o
m
/
T
r
a
n
s
f
e
r
.
p
h
p
?
t
o
B
a
n
k
I
d
=
1
1
&
m
o
n
e
y
=
1
0
0
0
>
首
先
,
你
登
录
了
银
行
网
站
A
,
然
后
访
问
危
险
网
站
B
,
噢
,
这
时
你
会
发
现
你
的
银
行
账
户
少
了
1
0
0
0
块
…
…
为
什
么
会
这
样
呢
?
原
因
是
银
行
网
站
A
违
反
了
H
T
T
P
规
范
,
使
用
G
E
T
请
求
更
新
资
源
。
在
访
问
危
险
网
站
B
的
之
前
,
你
已
经
登
录
了
银
行
网
站
A
,
而
B
中
的
<
i
m
g
>
以
G
E
T
的
方
式
请
求
第
三
方
资
源
(
这
里
的
第
三
方
就
是
指
银
行
网
站
了
,
原
本
这
是
一
个
合
法
的
请
求
,
但
这
里
被
不
法
分
子
利
用
了
)
,
所
以
你
的
浏
览
器
会
带
上
你
的
银
行
网
站
A
的
C
o
o
k
i
e
发
出
G
e
t
请
求
,
去
获
取
资
源
“
h
t
t
p
:
/
/
w
w
w
.
m
y
b
a
n
k
.
c
o
m
/
T
r
a
n
s
f
e
r
.
p
h
p
?
t
o
B
a
n
k
I
d
=
1
1
&
m
o
n
e
y
=
1
0
0
0
”
,
结
果
银
行
网
站
服
务
器
收
到
请
求
后
,
认
为
这
是
一
个
更
新
资
源
操
作
(
转
账
操
作
)
,
所
以
就
立
刻
进
行
转
账
操
作
…
…
示
例
示
例
2
:
:
为
了
杜
绝
上
面
的
问
题
,
银
行
决
定
改
用
P
O
S
T
请
求
完
成
转
账
操
作
。
银
行
网
站
A
的
W
E
B
表
单
如
下
:
<
f
o
r
m
a
c
t
i
o
n
=
"
T
r
a
n
s
f
e
r
.
p
h
p
"
m
e
t
h
o
d
=
"
P
O
S
T
"
>
<
p
>
T
o
B
a
n
k
I
d
:
<
i
n
p
u
t
t
y
p
e
=
"
t
e
x
t
"
n
a
m
e
=
"
t
o
B
a
n
k
I
d
"
/
>
<
/
p
>
<
p
>
M
o
n
e
y
:
<
i
n
p
u
t
t
y
p
e
=
"
t
e
x
t
"
n
a
m
e
=
"
m
o
n
e
y
"
/
>
<
/
p
>
<
p
>
<
i
n
p
u
t
t
y
p
e
=
"
s
u
b
m
i
t
"
v
a
l
u
e
=
"
T
r
a
n
s
f
e
r
"
/
>
<
/
p
>
<
/
f
o
r
m
>
后
台
处
理
页
面
T
r
a
n
s
f
e
r
.
p
h
p
如
下
:
<
?
p
h
p
s
e
s
s
i
o
n
_
s
t
a
r
t
(
)
;
i
f
(
i
s
s
e
t
(
$
_
R
E
Q
U
E
S
T
[
&
#
0
3
9
;
t
o
B
a
n
k
I
d
&
#
0
3
9
;
]
&
&
i
s
s
e
t
(
$
_
R
E
Q
U
E
S
T
[
&
#
0
3
9
;
m
o
n
e
y
&
#
0
3
9
;
]
)
)
{
b
u
y
_
s
t
o
c
k
s
(
$
_
R
E
Q
U
E
S
T
[
&
#
0
3
9
;
t
o
B
a
n
k
I
d
&
#
0
3
9
;
]
,
$
_
R
E
Q
U
E
S
T
[
&
#
0
3
9
;
m
o
n
e
y
&
#
0
3
9
;
]
)
;
}
>
危
险
网
站
B
,
仍
然
只
是
包
含
那
句
H
T
M
L
代
码
:
<
i
m
g
s
r
c
=
h
t
t
p
:
/
/
w
w
w
.
m
y
b
a
n
k
.
c
o
m
/
T
r
a
n
s
f
e
r
.
p
h
p
?
t
o
B
a
n
k
I
d
=
1
1
&
m
o
n
e
y
=
1
0
0
0
>
和
示
例
1
中
的
操
作
一
样
,
你
首
先
登
录
了
银
行
网
站
A
,
然
后
访
问
危
险
网
站
B
,
结
果
…
.
.
和
示
例
1
一
样
,
你
再
次
没
了
1
0
0
0
块
~
T
_
T
,
这
次
事
故
的
原
因
是
:
银
行
后
台
使
用
了
$
_
R
E
Q
U
E
S
T
去
获
取
请
求
的
数
据
,
而
$
_
R
E
Q
U
E
S
T
既
可
以
获
取
G
E
T
请
求
的
数
据
,
也
可
以
获
取
P
O
S
T
请
求
的
数
据
,
这
就
造
成
了
在
后
台
处
理
程
序
无
法
区
分
这
到
底
是
G
E
T
请
求
的
数
据
还
是
P
O
S
T
请
求
的
数
据
。
在
P
H
P
中
,
可
以
使
用
$
_
G
E
T
和
$
_
P
O
S
T
分
别
获
取
G
E
T
请
求
和
P
O
S
T
请
求
的
数
据
。
在
J
A
V
A
中
,
用
于
获
取
请
求
数
据
r
e
q
u
e
s
t
一
样
存
在
不
能
区
分
G
E
T
请
求
数
据
和
P
O
S
T
数
据
的
问
题
。
示
例
示
例
3
:
:
经
过
前
面
2
个
惨
痛
的
教
训
,
银
行
决
定
把
获
取
请
求
数
据
的
方
法
也
改
了
,
改
用
$
_
P
O
S
T
,
只
获
取
P
O
S
T
请
求
的
数
据
,
后
台
处
理
页
面
T
r
a
n
s
f
e
r
.
p
h
p
代
码
如
下
:
<
?
p
h
p
s
e
s
s
i
o
n
_
s
t
a
r
t
(
)
;
i
f
(
i
s
s
e
t
(
$
_
P
O
S
T
[
'
t
o
B
a
n
k
I
d
'
]
&
&
i
s
s
e
t
(
$
_
P
O
S
T
[
'
m
o
n
e
y
'
]
)
)
{
b
u
y
_
s
t
o
c
k
s
(
$
_
P
O
S
T
[
'
t
o
B
a
n
k
I
d
'
]
,
$
_
P
O
S
T
[
'
m
o
n
e
y
'
]
)
;
}
?
>
然
而
,
危
险
网
站
B
与
时
俱
进
,
它
改
了
一
下
代
码
:
<
h
t
m
l
>
<
h
e
a
d
>
<
s
c
r
i
p
t
t
y
p
e
=
"
t
e
x
t
/
j
a
v
a
s
c
r
i
p
t
"
>
f
u
n
c
t
i
o
n
s
t
e
a
l
(
)
{
i
f
r
a
m
e
=
d
o
c
u
m
e
n
t
.
f
r
a
m
e
s
[
"
s
t
e
a
l
"
]
;
i
f
r
a
m
e
.
d
o
c
u
m
e
n
t
.
S
u
b
m
i
t
(
"
t
r
a
n
s
f
e
r
"
)
;
}
<
/
s
c
r
i
p
t
>
<
/
h
e
a
d
>
<
b
o
d
y
o
n
l
o
a
d
=
"
s
t
e
a
l
(
)
"
>
<
i
f
r
a
m
e
n
a
m
e
=
"
s
t
e
a
l
"
d
i
s
p
l
a
y
=
"
n
o
n
e
"
>
<
f
o
r
m
m
e
t
h
o
d
=
"
P
O
S
T
"
n
a
m
e
=
"
t
r
a
n
s
f
e
r
"
a
c
t
i
o
n
=
"
h
t
t
p
:
/
/
w
w
w
.
m
y
B
a
n
k
.
c
o
m
/
T
r
a
n
s
f
e
r
.
p
h
p
"
>
<
i
n
p
u
t
t
y
p
e
=
"
h
i
d
d
e
n
"
n
a
m
e
=
"
t
o
B
a
n
k
I
d
"
v
a
l
u
e
=
"
1
1
"
>
<
i
n
p
u
t
t
y
p
e
=
"
h
i
d
d
e
n
"
n
a
m
e
=
"
m
o
n
e
y
"
v
a
l
u
e
=
"
1
0
0
0
"
>
<
/
f
o
r
m
>
<
/
i
f
r
a
m
e
>
<
/
b
o
d
y
>
<
/
h
t
m
l
>
如
果
用
户
仍
是
继
续
上
面
的
操
作
,
很
不
幸
,
结
果
将
会
是
再
次
不
见
1
0
0
0
块
…
…
因
为
这
里
危
险
网
站
B
暗
地
里
发
送
了
P
O
S
T
请
求
到
银
行
!
总
结
一
下
上
面
3
个
例
子
,
C
S
R
F
主
要
的
攻
击
模
式
基
本
上
是
以
上
的
3
种
,
其
中
以
第
1
,
2
种
最
为
严
重
,
因
为
触
发
条
件
很
简
单
,
一
个
<
i
m
g
>
就
可
以
了
,
而
第
3
种
比
较
麻
烦
,
需
要
使
用
J
a
v
a
S
c
r
i
p
t
,
所
以
使
用
的
机
会
会
比
前
面
的
少
很
多
,
但
无
论
是
哪
种
情
况
,
只
要
触
发
了
C
S
R
F
攻
击
,
后
果
都
有
可
能
很
严
重
。
理
解
上
面
的
3
种
攻
击
模
式
,
其
实
可
以
看
出
,
C
S
R
F
攻
击
是
源
于
W
E
B
的
隐
式
身
份
验
证
机
制
!
W
E
B
的
身
份
验
证
机
制
虽
然
可
以
保
证
一
个
请
求
是
来
自
于
某
个
用
户
的
浏
览
器
,
但
却
无
法
保
证
该
请
求
是
用
户
批
准
发
送
的
!
如
何
防
御
?
如
何
防
御
?
请
求
令
牌
(
一
种
简
单
有
效
的
防
御
方
法
)
:
请
求
令
牌
(
一
种
简
单
有
效
的
防
御
方
法
)
:
首
先
服
务
器
端
要
以
某
种
策
略
生
成
随
机
字
符
串
,
作
为
令
牌
(
t
o
k
e
n
)
,
保
存
在
S
e
s
s
i
o
n
里
。
然
后
在
发
出
请
求
的
页
面
,
把
该
令
牌
以
隐
藏
域
一
类
的
形
式
,
与
其
他
信
息
一
并
发
出
。
在
接
收
请
求
的
页
面
,
把
接
收
到
的
信
息
中
的
令
牌
与
S
e
s
s
i
o
n
中
的
令
牌
比
较
,
只
有
一
致
的
时
候
才
处
理
请
求
,
处
理
完
成
后
清
理
s
e
s
s
i
o
n
中
的
值
,
否
则
返
回
H
T
T
P
4
0
3
拒
绝
请
求
或
者
要
求
用
户
重
新
登
陆
验
证
身
份
令
牌
来
防
止
令
牌
来
防
止
C
S
R
F
有
以
下
几
点
要
注
意
:
有
以
下
几
点
要
注
意
:
a
.
虽
然
请
求
令
牌
原
理
和
验
证
码
有
相
似
之
处
,
但
不
应
该
像
验
证
码
一
样
,
全
局
使
用
一
个
S
e
s
s
i
o
n
K
e
y
。
因
为
请
求
令
牌
的
方
法
在
理
论
上
是
可
破
解
的
,
破
解
方
式
是
解
析
来
源
页
面
的
文
本
,
获
取
令
牌
内
容
。
如
果
全
局
使
用
一
个
S
e
s
s
i
o
n
K
e
y
,
那
么
危
险
系
数
会
上
升
。
原
则
上
来
说
,
每
个
页
面
的
请
求
令
牌
都
应
该
放
在
独
立
的
S
e
s
s
i
o
n
K
e
y
中
。
我
们
在
设
计
服
务
器
端
的
时
候
,
可
以
稍
加
封
装
,
编
写
一
个
令
牌
工
具
包
,
将
页
面
的
标
识
作
为
S
e
s
s
i
o
n
中
保
存
令
牌
的
键
。
b
.
在
a
j
a
x
技
术
应
用
较
多
的
场
合
,
因
为
很
有
请
求
是
J
a
v
a
S
c
r
i
p
t
发
起
的
,
使
用
静
态
的
模
版
输
出
令
牌
值
或
多
或
少
有
些
不
方
便
。
但
无
论
如
何
,
请
不
要
提
供
直
接
获
取
令
牌
值
的
A
P
I
。
这
么
做
无
疑
是
锁
上
了
大
门
,
却
又
把
钥
匙
放
在
门
口
,
让
我
们
的
请
求
令
牌
退
化
为
同
步
令
牌
。
c
.
第
一
点
说
了
请
求
令
牌
理
论
上
是
可
破
解
的
,
所
以
非
常
重
要
的
场
合
,
应
该
考
虑
使
用
验
证
码
(
令
牌
的
一
种
升
级
,
目
前
来
看
破
解
难
度
极
大
)
,
或
者
要
求
用
户
再
次
输
入
密
码
(
亚
马
逊
、
淘
宝
的
做
法
)
。
但
这
两
种
方
式
用
户
体
验
都
不
好
,
所
以
需
要
产
品
开
发
者
权
衡
。
d
.
无
论
是
普
通
的
请
求
令
牌
还
是
验
证
码
,
服
务
器
端
验
证
过
一
定
记
得
销
毁
。
忘
记
销
毁
用
过
的
令
牌
是
个
很
低
级
但
是
杀
伤
力
很
大
的
错
误
。
我
们
学
校
的
选
课
系
统
就
有
这
个
问
题
,
验
证
码
用
完
并
未
销
毁
,
故
只
要
获
取
一
次
验
证
码
图
片
,
其
中
的
验
证
码
可
以
在
多
次
请
求
中
使
用
(
只
要
不
再
次
刷
新
验
证
码
图
片
)
,
一
直
用
到
。
如
下
也
列
出
一
些
据
说
能
有
效
防
范
如
下
也
列
出
一
些
据
说
能
有
效
防
范
C
S
R
F
,
其
实
效
果
甚
微
或
甚
至
无
效
的
做
法
:
,
其
实
效
果
甚
微
或
甚
至
无
效
的
做
法
:
a
.
通
过
r
e
f
e
r
e
r
判
定
来
源
页
面
:
r
e
f
e
r
e
r
是
在
H
T
T
P
R
e
q
u
e
s
t
H
e
a
d
里
面
的
,
也
就
是
由
请
求
的
发
送
者
决
定
的
。
如
果
我
喜
欢
,
可
以
给
r
e
f
e
r
e
r
任
何
值
。
当
然
这
个
做
法
并
不
是
毫
无
作
用
,
起
码
可
以
防
小
白
。
但
我
觉
得
性
价
比
不
如
令
牌
。
b
.
过
滤
所
有
用
户
发
布
的
链
接
:
这
个
是
最
无
效
的
做
法
,
因
为
首
先
攻
击
者
不
一
定
要
从
站
内
发
起
请
求
(
上
面
提
到
过
了
)
,
而
且
就
算
从
站
内
发
起
请
求
,
途
径
也
远
远
不
知
链
接
一
条
。
比
如
<
i
m
g
s
r
c
=
"
.
/
c
r
e
a
t
e
_
p
o
s
t
.
p
h
p
"
/
>
就
是
个
不
错
的
选
择
,
还
不
需
要
用
户
去
点
击
,
只
要
用
户
的
浏
览
器
会
自
动
加
载
图
片
,
就
会
自
动
发
起
请
求
。
c
.
在
请
求
发
起
页
面
用
a
l
e
r
t
弹
窗
提
醒
用
户
:
这
个
方
法
看
上
去
能
干
扰
站
外
通
过
i
f
r
a
m
e
发
起
的
C
S
R
F
,
但
攻
击
者
也
可
以
考
虑
用
w
i
n
d
o
w
.
a
l
e
r
t
=
f
u
n
c
t
i
o
n
(
)
{
}
;
把
a
l
e
r
t
弄
哑
,
或
者
干
脆
脱
离
i
f
r
a
m
e
,
使
用
F
l
a
s
h
来
达
到
目
的
。
总
体
来
说
,
目
前
防
御
C
S
R
F
的
诸
多
方
法
还
没
几
个
能
彻
底
无
解
的
。
作
为
开
发
者
,
我
们
能
做
的
就
是
尽
量
提
高
破
解
难
度
。
当
破
解
难
度
达
到
一
定
程
度
,
网
站
就
逼
近
于
绝
对
安
全
的
位
置
了
参
考
文
献
参
考
文
献
[
1
]
.
P
r
e
v
e
n
t
i
n
g
C
S
R
F
[
2
]
.
S
e
c
u
r
i
t
y
C
o
r
n
e
r
:
C
r
o
s
s
-
S
i
t
e
R
e
q
u
e
s
t
F
o
r
g
e
r
i
e
s
[
3
]
.
《
W
e
b
安
全
测
试
之
跨
站
请
求
伪
造
(
C
S
R
F
)
》
[
4
]
.
百
度
百
科
-
C
S
R
F
、
X
S
S
阅
读
原
文
回复
举报
上一个主题
下一个主题
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
发表
漏洞