6 楼正解，samesite 之前一般是通过 token 或者验证 href 去防御的，一般使用 token 是框架集成使用比较方便。另外 cookie 跟防御 xss 和 csrf 没啥关系

CC 攻击规模较大的情况下是比较难办的，哪怕你做了限频，在请求聚类的这段时间只要量大一样能打挂你。如果网站是纯静态的上 CDN 就完了。

wx:QXJjdGljX2w= 多谢

@cythb 准备养肥点再看，记得以前三天一更的时候等的那叫一个急啊。

@cythb 我凑，竟然是真的，我又要沦陷了。。

@sagaxu 这个还挺好玩的

@yingtl 端口关了，怎么通信的？

侧信道攻击？

中间一张猛地有种暴风城的感觉

查看 nssock2.dll 的版本,如果版本号为 5.0.0.26 则存在后门

明显的漏扫攻击行为，waf 上可以根据返回码做策略，大量访问返回 404 的，直接封了吧~PS：保险起见，先观察。。

要是能重来，我一定在大四的时候认认真真的找一份满意的实习工作，然后毕业转正，工作个三两年之后再想跳槽啥的，实习生和毕业生找工作完全是不同的天地。。。

@ptrees 清楚了，谢谢

@AJian 请问(.*)?和(.*?) 有什么区别？ 匹配的结果是不一样的

@78778443 之前毕业设计就做过类似的设计，目的就是搭建漏洞测试环境，就是用的 docker，只不过很简陋- -！
现在的很多安全攻防实验平台也都是虚拟化的靶场环境，涉及的不仅仅是 web 安全。

个人见解：
其实像这种本地的靶场平台已经不是很新鲜、好玩了，而且只能提供一些比较基础的案例，仅适于学习了解基础
好玩的话，感觉还是基于虚拟化的线上平台，搭建定制的虚拟环境，这样的话样式更多，涉及更广，也利于交流学习，比如利用 docker 搭建虚拟环境，可以保存为镜像共享学习。