策略实现工程师

CSRF（跨站请求伪造）攻击是一种利用用户在已登录的状态下，通过伪造请求来执行非法操作的攻击方式。攻击者会诱使用户访问恶意网站或点击恶意链接，从而触发已登录用户的浏览器发送伪造的请求，执行攻击者指定的操作，如修改用户信息、发起转账等。为了防止 CSRF 攻击，可以采取以下措施：https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=bb7c8339fae245258616366baf13e19e验证来源（Referer）：在服务器端验证请求的来源是否合法，检查请求头中的 Referer 字段，确保请求来自可信的网站。然而，这种方法并不可靠，因为 Referer 字段可以被篡改或禁用。添加 CSRF Token：在每个表单或请求中添加一个随机生成的 CSRF Token，并在服务器端进行验证。攻击者无法获取到合法的 CSRF Token，因此无法伪造合法的请求。同源策略（Same-Origin Policy）：浏览器的同源策略限制了不同源（域名、协议、端口）之间的交互，可以有效防止跨站请求伪造。确保关键操作只能在同一域名下进行。使用验证码：对于敏感操作，可以要求用户输入验证码进行验证，以增加安全性。设置短有效期的 Cookie：将用户的身份验证信息存储在短有效期的 Cookie 中，减少被盗用的风险。防御点击劫持：通过在响应头中添加 X-Frame-Options，限制页面的嵌入方式，防止点击劫持攻击。

模版方法是大厂复杂业务逻辑中使用的最多的一种设计模式了，在一些业务庞大、成熟的代码中真的可以说是随处可见。常见的业务场景比方说执行器、校验器之类；其主要目的是可维护性。新增一个执行器/校验器之需要写差异化逻辑，不会把代码搞成烟囱那种难以看懂的模式。对于Java来说，模版方法的实现方式非常简单，一般只需要一个抽象类，和一堆实现类就可以实现。具体操作是，先创建抽象类，定义模板方法规定操作顺序，再设抽象方法作步骤占位，由子类继承并重写抽象方法，调用模板方法时按顺序执行，依子类重写内容展现差异化行为。但是在golang中没有继承、没有抽象类，网上不少人强行用java的方式些golang，到最后反而让代...

XSS（跨站脚本攻击）指的是攻击者通过注入恶意脚本代码来攻击用户的网站或应用程序。攻击者通常会在用户输入的内容中注入脚本代码或恶意链接，并使其他用户在浏览该网页时执行该代码，从而窃取用户信息、篡改页面内容或进行其他恶意行为。为了防止 XSS 攻击，可以采取以下措施：https://www.nowcoder.com/issue/tutorial?zhuanlanId=Mg58Em&uuid=bb7c8339fae245258616366baf13e19e输入验证和过滤：对用户输入的数据进行验证和过滤，确保只接受符合预期格式和内容的数据。可以使用合适的库或框架进行输入验证，如限制特殊字符、转义特殊字符等。输出编码：在将用户输入内容（包括用户输入的文本、URL 或 HTML）输出到页面时，将其进行合适的编码处理，以防止脚本代码被解析执行。常用的编码方式有 HTML 实体编码和 URL 编码。使用 HTTP-only Cookie：将敏感信息（如用户身份验证的 Cookie）标记为 HTTP-only，这样脚本无法通过 JavaScript 访问该 Cookie，减少 XSS 攻击的威力。使用内容安全策略（CSP）：通过配置内容安全策略，限制页面加载资源的来源，只加载可信的资源，以防止恶意脚本的注入。定期更新和维护：及时更新和修复应用程序的漏洞和安全问题，以提高应用程序的安全性。教育用户：提高用户的安全意识，教育用户不要轻信可疑的链接或提供个人敏感信息，从而降低受到 XSS 攻击的风险。

一面1. go基本八股，有线程和协程的区别（我答的一般，感觉这里可以联系gmp），三色标记法，如何通知goroutine让其关闭，map的底层结构2. mysql基本八股，几种并发问题，对应怎么解决的，索引的结构，你是怎么建立索引的等等（记不太清了）3. mysql执行一条语句的时候突然变得很慢，如何去优化，列举一下可能的原因4. gin框架为什么快5. redis的基本八股，几种数据结构，zset底层6. 问简历上一些项目相关的技术以及具体实现7. 手撕插入区间，思路没问题，但是边界没处理后越界了二面当天就约了二面，我给推到下周一了。二面问的也不是特别难，可以说是八股进阶吧。1. go八股必...