当然有意义啊，防止 request body 以各种理由被保存在 log、db 里，这样就存在泄漏风险。另外 HTTPS 只是保证了传输链路的防窃听、篡改、冒充，端上的防护还是有必要的

代码整洁之道

3JZ7，还有三个名额

梦想 e 卡

OSX 自带的 提醒事项 挺好用的:）

楼主可以简单的这么理解吧， CSRF 是借 Cookie 去干坏事（实际并未拿到用户 Cookie ），而 XSS 是盗取 Cookie 干坏事。

你不是一个人。。。

@wzxjohn 我怎么感觉阿里是直接扫代码目录找 media.php 文件呢->_->

楼主你这都已经被挂马了，我觉得还是先将问题主机下线，查日志，找到漏洞从哪里产生，黑客干了什么，把这些摸清楚以便于及时堵住漏洞和清理后门，然后给服务器做点基本的安全加固（尤其是 web 服务低权限运行），至于你说的查询文件变动，我推荐 tripwire ，很不错的工具

@Mireas 抓包啦， Chalers 就行

你都知道原理了，那就干啊

2333 开发团队都免了