本文作者：梅子酒（来自信安之路学生渗透小组）

CSP Introduction

CSP 全称 Content Security Policy，即内容安全策略。CSP 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括 XSS 和注入。

CSP 被设计为完全向后兼容，在不同的浏览器上，不会因是否支持 CSP 而产生冲突问题。在不进行特定设置之前，默认为网页使用标准的同源策略。

本文作者：Anthem & hl0rey 文章来源：RTIS 雏鹰进阶之路 小伙伴 Anthem 第一周的总结，hl0rey 对其进行了扩展，更多小伙伴的总结尽在 知识星球

HTTP 协议，即超文本传输协议 (Hypertext transfer protocol)。 是一种详细规定了浏览器和万维网 (WWW = World Wide Web) 服务器之间互相通信的规则，通过因特网传送万维网文档的数据传送协议

本文作者：Ph0rse 文章来源：RTIS CTF 雏鹰进阶之路的第一周分享任务中优秀的报告，其他报告请前往知识星球查看

本文涉及的一些文件放在了下面：

https://pan.baidu.com/s/1WY_iDeeNFFi89v7FdVxPIw

学习 SQL 注入有两套必刷题，一个是 sqli-labs，这个已经有了成套的 wp 讲解，在上面的网盘里。

另一个就是这个 RedTiger 了，题目非常地巧妙，每一关对应一个 SQL 知识点，一套下来，能学到很多东西。

唯一美中不足的是，因为题目是在一套环境下，为了防止从第一关的注入点注出第十关的 flag，所以都限制了函数和一些关键字，导致无法使用正常的注入流程来爆出表名、列名，不过题目提示已经说的比较清楚了，稍微动下脑子就能猜到 username、password 这类常用列名。

本文作者：晚风（来自信安之路作者团队）

做前端开发经常会碰到各种跨域问题，通常情况下，前端除了 iframe 、script 、link、img、svg 等有限的标签可以支持跨域外（这也与这些标签的用途有关），其他的资源都是禁止跨域引用的。说到跨域，与浏览器的同源策略是密不可分的。那我们先来理解一下浏览器为什么要设置同源策略。

本文作者：Anthem

文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞，因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易，其中有很多技巧，也有很多需要掌握的知识。俗话说，知己知彼方能百战不殆，因此想要研究怎么防护漏洞，就要了解怎么去利用。