CSRF（Cross-site request forgery）跨站请求伪造, 定义: 攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。 利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。 一个典型的CSRF攻击有着如下的流程: 受害者登录a.com，并保留了登录凭证（Cookie）。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求：a.com/act=xx。浏览器会默认携带a.com的Cookie。 a.com接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是受害者自己发送的请求。 a.com以受害者的名义执行了act=xx。 攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作。 前后端分离时, 不使用 cookie, 则不会有 csrf 危险

腾讯云安全检测提示 xxx.com/icons/index 及 xxx.com/icons/small/index 存在安全漏洞 打开发现是一串 icons 图片, 而在项目文件里并没有这些文件 见: http://www.apache.org/icons/small/ 以下引用自: http://www.511yj.com/apache-colose-icons.html 我们如果使用了apache服务器，当我访问http://xxx.xxx.xxx/icons/时会自动显示这个目录下的所以文件列表，这行造成网站目录信息的泄露对我们的网站安全造成威胁，在 关闭apache自动目录列表功能的三种方法 这篇文章中的三种方法都不能禁止自动目录列表，你如果使用网站安全监测，会提醒你发现目录启用了自动目录列表功能，所以我们必须禁止它，经过测试，按如下步骤可以禁止： 打开目录apache/conf/extra/下的文件httpd-autoindex.conf 找到 Alias /icons/ "/xampp/apache/icons/" <Directory "/xampp/apache/icons"> Options Indexes MultiViews AllowOverride None Require all granted </Directory> <Directory "/xampp/apache/icons"> Options MultiViews AllowOverride None Require all granted </Directory> 我实际上是注释掉了这些配置, 因为用不到这些 icons, 直接达到目的