最近有白帽反馈了接入Sentry的安全漏洞，坏人可以进行SSRF攻击（Server-Side Request Forgery），其实还是挺普遍的，让我们来了解下。

看到一个抢红包的活动页，准备把接口copy出来自动测试却发现403了，这种情况一般都是因为有 referrer 校验。我们也经常会通过 referrer 白名单来限制接口的盗用，今天来分析下可能存在的攻击点。

需求 今天遇到有业务要求我们的登录页允许被嵌在 iframe 中以满足导流需求，找安全的大佬们讨论了下，最后给出的结论是： 如果业务方的代码写的挫了点，有 xss 漏洞的话，坏人完全可以把你本来的 iframe 隐藏掉，自己写个弹框出来，这样的话用户完全无感知地被篡改了，直接输入用户名和密码，信息就被上送到了坏人的服务器。 what？还能这样吗？ 那得写多少

今天听小伙伴分享了下CSRF攻击的原理，这次真的弄明白了CSRF。 **CSRF\(**Cross Site Request Forgery\) 是什么？跨站请求伪造。 通过CSRF攻击，坏人可以冒用你的身份（登录态）来做任何事情。因为登录态一般都是通过cookie来存储在浏览器中，要知道即使只是发起一个图片的请求，也会带上这个域下的所有cookie，可以做