My Knowledge Tree
我对「CSRF」的掌握
还没有本地学习记录。
双语术语 / Bilingual Term
- 中文
- CSRF
- English
- Cross-Site Request Forgery
- Aliases
- CSRF
一句话解释
CSRF 是借用户已登录身份偷偷发起请求的攻击。
小白比喻
把它想成项目里的CSRF标识牌:它不替你写代码,但会告诉 Codex 这里的规则、边界和风险。
具体例子 / Concrete Example
如果用户已登录,恶意网站诱导浏览器 POST /api/learning/clear,就可能清空进度。SameSite cookie 和 CSRF token 可以降低风险。
第一性原理
商业系统不是只跑通一次,而是要在变化、失败、多人协作和线上压力下仍然可理解、可验证。
为什么 AI Coding 时代必须懂
AI 可以快速实现局部代码,但如果指挥官没有写清 CSRF,Codex 很容易只满足当前样例,漏掉真实项目里的边界。
商业项目事故
项目没有提前定义CSRF相关规则,导致上线后才发现权限、数据、性能或恢复路径不符合商业要求。
指挥 Codex 时应该怎么问
请检查这个任务中的CSRF要求,列出风险、实现策略和验收标准。任务卡里应该怎么写
在任务卡中单独写一节“CSRF”,说明范围、约束、失败路径和验证方法。
验收标准怎么写
Codex 能给出与CSRF相关的测试、日志、截图或配置证据,并说明未覆盖风险。
错误指令
先不用管CSRF,功能能跑就行。
合格指令
实现前先定义CSRF的边界和验收方式,并让 Codex 按清单自测。