java: 目前实现了 jsr servlet 规范标准的大多数容器 都是用了 多线程同步模型 来处理请求。 例如著名的 tomcat，也有使用了 多线程异步模型的 例如 eclipse 基金会的 jetty 项目。

处理HTTP协议的程序只关心 HTTP头是什么，不关心后面的数据是什么，所以他只要能够正确解析HTTP头里面的东西就可以了。其后面的数据是什么不是HTTP协议关心东西，所以处理HTTP协议的程序根本不会解析HTTP报文的其他部分，HTTP协议只会解析数据到两个连续的换行回车之...

csrf攻击都是面对各种表单提交等会修改网站数据的事件，但对于每个用户这个事件的url地址一般是固定的。用户可以在你的网站内部访问这个地址，那当其已登录的情况下，同样可以通过网站外部成功访问这个地址，如自己在地址栏输入：某网站/转账？to="张三"&money="...