你是个人参加，还是代表公司参加？如果是后者，上交公司。如果是前者，给我吧。

个人站，只准备到时弄好流量，挂点广告就行

@lslqtz 你是说扔个二级域名给俺 还是把我们域名备到你下面？

@Showfom 反代的机器呢？国内也要备案。也会暴露吧

另外，不是听说掉了的话，就入黑名单了啊，随后补上还管用吗？另外，这个掉不掉是怎么检测的？没事自己去查一查？

@qcloud 哪都有你 :) 求推荐代备。

我的意思是 加速服务提供商比如百度，全站加速后，我们自己在 DNS 那里不是要添加一个 CNAME 记录吗，以前的对应关系是：域名=>真实 IP （服务器）

加速后 域名=>百度 IP=>真实 IP （服务器）

在百度服务器访问真实服务器的时候肯定是通过 IP 访问，而且由不带端口号，这种情况就只能对应到一个域名上面。而我上面绑定了多域名。

docker 是个框，啥都往里装

http://kf.qq.com/

注意右下角，有个电话图标，很隐蔽，点开有电话。

请叫我雷锋

@doresu ：你是怎么用的？绑定域名？方不方便网站贴出来看看？

现在不备案是不是没法用了？

哈哈，说起 diff ，觉得用 headless 浏览器用两个账号分别渲染、截图，然后对比，可能是终极办法了

@binux 其实 @rannnn 的回复让我惊了一下，按照这种逻辑，其他后台可以在多个元素上面输出水印，背景、人物图像、甚至操作按钮的背景之类，这样的话我觉得是无解的，除非设置不加载图片。但是这样的话，原帖中如果带有图像就不能截取了

有点纳闷，是不是生成的背景图里面有玄机？这样的话， F12 ，直接把这个背景或者元素删掉还有没有？删掉之后在截图有问题吗？

Waf 也可能是硬件吧

我也是醉了，还不让转载，复制.

"其实 CSRF 并不一定非要借助受害用户的浏览器，黑客可以自己写脚本伪造出一个和真实的 http 请求一模一样的数据包发给你的服务器，前提是你的这个 http 接口中的所有参数都是可以预期的。
需要说明的是，对于广义的 CSRF ，是我自己的理解，在这一点上可能与书本上所讲的内容存在一些出入。"

这是误解，这种直接通过其他途径获取到用户身份如 cookie 的啥的，然后伪造后台直接伪造请求，不属于 CSRF 的范畴。


“要实现 CSRF 的关键，在于找到 XSS 漏洞”

你是在逗我吗？这俩有个半毛钱关系？两者的确可以结合起来做攻击，但是原理半毛钱关系都没有。
CSRF 的本质是“攻击者在受害者不知情的情况下以受害者的身份发送某些敏感操作到服务端”，这种防范很简单， Http Referer 判断就可以，只不过由于担心浏览器漏洞使得 referer 被篡改，大部分都采用 token 的方式。


所以对于真正的 Restful 服务来讲是不存在 CSRF 攻击的，因为他是无状态的，而发动 CSRF 恰恰需要利用的就是这个状态（一般是 cookie ）。

下面的已经看不下去了，楼主还是多看看相关的概念，细细品味品味。