绝对不能跟妈妈姓

@canyue7897 感觉老哥的发言不像是行内人， 安全都快凉得透透的了； 谁都知道安全重要，可企业都快活不下去了，再安全有个屁用啊，买卖都黄了；

只有少数利润好的公司才愿意在这里投人， 就算云、金融、通信那种对安全要求特别高的企业在安全上的投入都很少，发展路数和钱远不如开发；

为了赚钱干安全是个错误的选择，一般干这个的都是年轻的时候有这方面的爱好的。

信我

1. 我觉得可以 AI 在流水线上做 CR ，有些代码扫描引擎不好做的东西，我觉得可以用 AI 搞些识别，直接把 AI 意见展示在 CR 或者 MR 页面上；

2. AI 可以做些代码和注释补全，jetbrains2024 那个行补全非常 nb ，但不知道你们团队有没能力去做这个，可以拿公司代码仓库训练然后搞些 vim 、vsc 、idea 的插件，去补全函数代码、函数注释、数据结构之类的；

3. 可以用 AI 根据项目生成 readme 、代码文档，现在一些文档自动生成工具都是根据类、方法、结构体的注释，自动整理一下，AI 可以进一步根据代码结构之类的补充些信息，可以生成更详细的版本，就算搞个初版人再去改也算提效了；

4. 如果团队有周报的要求，根据 代码、文档、需求平台上提交的内容 自动生成员工的周报，降低写团队周报需要的精力；

@yumizhao888

对，次数多了就习惯了

不说。

楼上老哥解释的很详细； 原来 lua 是默认调用了一个 openssl 的自动生成 iv 的函数，不是用全 0 的 iv ；

其实一般做法 iv 都是自己写段逻辑自己生成的，用随机数也好，不重复生成的算法也好。 因为传输密文的时候这个 iv 怎么传得跟对方约定好的，是单独一个业务字段，还是放到开头结尾； 所以 iv 这块总是要自己处理的；

OP 意思是同样的 key ，同样的明文，2 和 3 结果不一样吗？

如果是这个意思的话，那是因为 cbc 模式要求有 iv ，正常的做法，每一次加密 iv 都是一个不一样的值，同样 key 同样明文，iv 不同获得的密文也不同； 接收方要解密的时候必须知道 key + iv 才能解密，一般是约定附加在密文开头或者指定另一个字段；

你这两个都没有明确设置 iv ，那得看 lua 的默认行为和 java 默认行为最终导致的进入运算的 iv 一不一样； op 可以手动设置 iv ，或者查查手册把 iv 打印出来

@Hurriance

OP 就按这个老哥说的提，原文复制。

如果再把“请问”去掉，语气会更加柔和。

@hirenloongdddd 从未见过严谨文件用英语写的，不都是要用法语吗？

1. 不罕见；
2. 孩子思想价值观还没成熟，正在探索这个世界，我觉得发展到这里非常非常正常，所以是未成年人嘛，需要大人和学校纠正和保护，可以庆幸发生的时间晚，并且是小事，不是拿刀捅同学或者把同学推下楼这种无可挽回的事；
3. 我觉得你的处理方式挺好的；

直接起诉打官司？ 也恶心他们一下

@happyxhw101

OP 用这个方法就行，最简单实用的，cookie 双重认证， 你所有的重要请求都在页面上用 js 发 post ， 发的时候把 cookie 里面的 token 值带到请求上，放 post 参数、header 里都行；

你后端收请求的时候：
1. 先看 cookie 里面有没有 token ，没 token 就拒绝，然后 set-cookie 种个随机数 token ；
2. 再看请求里面带没带和 cookie 一样的 token ，不一样就拒绝；

对 csrf 的问题就解决了；


网上有很多会结合 xss 和 csrf 考虑的，我个人认为这样复杂了，一般有了 xss 漏洞就不考虑 csrf 了，xss 能做的太多了；有 xss 的问题修 xss 的问题，讨论 csrf 都是要在没 xss 没钓鱼的情况下讨论，不然说不清；

没事，瞎写就行，你又不是什么大负责人；
有那精力给自己的项目或者开源项目搞搞不香吗；

除非大家瞎写你又要负责系统可用性，然后系统真的因为大家都瞎写反复挂的时候，你再考虑怎么定定规范，搞搞 ci 流程之类的， 没到这一步不用想。

主要没钱吧，要有钱我肯定包养很多女人，然后选个牛逼的女的结婚让她当大太太管着她们；