CSRF（跨站请求伪造）利用浏览器自动携带Cookie的特性进行攻击，攻击者通过钓鱼网站向受害者已登录的网站发送请求，伪装成用户操作。防护措施包括限制Referer、携带Token和使用验证码，但各有缺点。

web 生存指南：永远不要相信用户的输入

访问页面时，浏览器的第一个操作就是导航，理解进程之间的协作，浏览器好像栩栩如生的小世界。

现代浏览器的核心功能包括获取和展示资源，主要依赖于网络引擎、渲染引擎和脚本引擎。浏览器架构可分为单进程和多进程两种结构，多进程架构提供了更好的稳定性、安全性和可扩展性。

本文介绍了 VSCode 插件开发的基本结构与规范，包括 VSCode 的架构、插件的能力、配置文件的结构（如 package.json）及其重要字段，以及插件逻辑的实现。插件运行在独立进程中，开发者需注册基本信息和功能贡献，并实现激活和销毁逻辑。