我也是醉了，还不让转载，复制.

"其实 CSRF 并不一定非要借助受害用户的浏览器，黑客可以自己写脚本伪造出一个和真实的 http 请求一模一样的数据包发给你的服务器，前提是你的这个 http 接口中的所有参数都是可以预期的。
需要说明的是，对于广义的 CSRF ，是我自己的理解，在这一点上可能与书本上所讲的内容存在一些出入。"

这是误解，这种直接通过其他途径获取到用户身份如 cookie 的啥的，然后伪造后台直接伪造请求，不属于 CSRF 的范畴。


“要实现 CSRF 的关键，在于找到 XSS 漏洞”

你是在逗我吗？这俩有个半毛钱关系？两者的确可以结合起来做攻击，但是原理半毛钱关系都没有。
CSRF 的本质是“攻击者在受害者不知情的情况下以受害者的身份发送某些敏感操作到服务端”，这种防范很简单， Http Referer 判断就可以，只不过由于担心浏览器漏洞使得 referer 被篡改，大部分都采用 token 的方式。


所以对于真正的 Restful 服务来讲是不存在 CSRF 攻击的，因为他是无状态的，而发动 CSRF 恰恰需要利用的就是这个状态（一般是 cookie ）。

下面的已经看不下去了，楼主还是多看看相关的概念，细细品味品味。

你说的那一大堆库 框架 一个 maven 不就全搞定了？再配个 IDEA 还要啥自行车啊

技术牛逼，你穿个拖鞋都行，以为穿拖鞋被刷掉的，那是你不够牛，这跟简历的包装是一个尿性

你这完全是 XY problem( http://mywiki.wooledge.org/XyProblem) .

@raysonx 已经提到了，合理的做法是子进程自己根据某些 flag 控制进程是否结束，并且有责任在退出前释放自己占用的资源

笑死了，你这个杀敌一万，自损八千啊，你服务端维持那么多长连接你扛得住？再说了，定向爬取都特么要到源码分析抓取地址的啊？你这种小伎俩分分钟过滤掉啊

我去，刚升级完成了，发现坑爹啊。之前装的应用我是一律不给电话权限的，但是升级后，权限里面发现电话被打开了，而且关闭不了！！

@iroywang :申请了，立马收到推送， 1 个多 G ，对吗

@Tyanboot ：这种方式升级后，后续还能继续 OTA 升级吗？

http://www.ithome.com/html/android/211020.htm
这里提到了线刷是要解锁啊

@iroywang ：百度有什么答案？不瞒你说，我发帖前还真 google 了，大部分只是提到好像是 8 月 20 几号开始分批推送，半个月了一直没收到，所以才发帖问问情况。

@watermeter :不好意思，可能是我理解错了，很久没刷过机，对一些流程啥的都不记得了。我以为线刷就是要解锁，还 recovery 啥的。

顺便问下， root 后的 Android 还能还原吗？一些安全之类的更新能不能直接 ota 升级？

@halou12 ：机器没有解锁、 root ，不想折腾着线刷。

@JJaicmkmy 二级域名是什么？ 就是上传的文件的那个地址吗？那个限速 限 IP 限流量的啊

incoming 的流量是不计算在内的。

可拉 xx 倒吧，你说的那么多需要学的东西，还知识点多什么的，一个刚入门的初学者需要去分清 html4 5 之类的？还 less sass babel 啥的，典型的没学会爬就想跑啊！只学最基本的哪那么多费话，等到真入门了，知其所以然了，再去进阶也不迟。
还有，你把什么编辑器都拿出来，真难为你了，这玩意儿要学吗？你咋不把安装 卸载 开关机也写里面。
至于前端变化快，真的变化快吗 基础打好，那些所谓的各种框架无非弄明白理念，流程，真的很难吗，我倒真的怀疑一个 js 都不利索的人费尽心机能把 ng 学成什么样子。
基础打不好，只能跟到各种框架屁股后面追是挺累的，但也活该，虽然目前前端是有点浮躁，一言不合就新名词，新概念。

为什么坚持不下去？
如果是因为辛苦的话，改行吧，这个的确是有点累的。
如果是因为觉得没前途，那就自己充电啊，。
否则你还是去当领导比较好

这哥们尼玛真是没得说了，还敢自己报警啊

很简单，也不用撕破脸，跟实习的讲：自己工作比较忙，没时间处理这些，如果时间真的很紧迫，让他跟上级负责人联系，安装其他同事协助。

我说啊，你们还是要学习一个。现在的七牛验证难道一个身份证号就可以通过的？ Too young ！ 人家现在要的是手持身份证正反面啊少年，不得不说这招太狠了。