@autoxbc
>> 2. 因为写数据相比读数据是个低频行为，所以可以设立单独的 updateToken 方法，每次写数据操作，先 ajax 一个 token，服务器根据用户当前是否合法登录，决定是否返回有效 token。获取到 token 后，附加到写数据函数中。



你如果一定要使用 csrftoken，那么必须每个页面都是独立的 token，如果像你说的提供一个获取最新 csrftoken 的接口，来实现共用一个最新的 csrftoken 的话，你这个获取 csrftoken 的接口本身就有问题了，如何保证不被恶意跨域获取最新 csrftoken 呢？于是这种 csrftoken 方式就完全没有意义了。

@wenzhoou

如果有用户会去折腾浏览器主动禁止 referer，那么我认为这是水平很高的用户了，那么他能够为他的行为负责。

我觉得如果不考虑 ie6 这种老浏览器，其实上 https 与校验 referer 就能防御 csrf，没必要用 csrf token。

@sty

咦，高中校友吗

想到一个解决 spa 页面做 seo 的办法。

1. 首先你要有个工具能够获取对指定 url 浏览器渲染（包括执行 js ）后的 html 内容，比如使用 PhantomJs
2. 剩下的就仅仅只是判断到是 bot 发过来的请求后，就调用 PhantomJs 来转发请求后，把渲染后的 html 返回给 bot。

是不是可以单独搞一套给 bot 看的网站，与正常网站同一套 url，
通过 UA 判断到是 bot 后就给它看。

我刚工作的第一家公司都有英文名，那时都是直接叫英文名，Tony、Mike。。。

定位不了的，因为感谢 收藏也被算作 reply，然后就乱掉了。

当然为了不让支付宝垄断，我支持别人用微信支付

不用微信支付的路过

解决了，参考了 openwrt 的配置文件：

在 /etc/config/firewall 文件后追加规则

```
config rule
option target 'ACCEPT'
option src 'wan'
option proto 'tcp'
option dest_port '1344'
option name 'outwamg1344'
```

然后重启`/etc/init.d/firewall restart`


参考：

http://demon.tw/hardware/remote-ssh-openwrt.html/comment-page-1

https://wiki.openwrt.org/doc/howto/port.forwarding



@zjsxwc @szlytlyt @akira @xfspace

@szlytlyt

试了 0.0.0.0 也一样不能被外网访问，应该是路由器接管了来自外网的网络请求，因为他要优先干端口转发。

改了程序，直接指定路由器外网的 ip 来监听端口，也不行。。

感觉写 java 是最不需要带脑子的

```
Student[] students ；
studentsList = new ArrayList<>();
String rec = ....
boolean isStudentExists = (rec != null) && (students = convert(rec)) && (students.length > 0);
if (isStudentExists) {
studentsList = Arrays.asList(students);
}
```

用了 3 年 fedora，qq 都是在 virtualbox 里跑，凑合用。

日常都是用浏览器解决问题，很少碰到浏览器搞不定的

换公司。

话说回来，Symfony 不算小众，仅次于 Laravel，我招人也喜欢有 Symfony 经验的，Angular 将是前端的 Symfony 是什么意思？