Web安全，也可以叫做Web应用安全。互联网本来是安全的，自从有了研究安全的人之后，互联网就变的不安全了。

HTTP协议与会话管理

当我们访问一个网址的时候，这中间发生了什么?

• 输入网址
• 浏览器查找域名的IP地址
• 浏览器给Web服务器发送一个HTTP请求
• 服务端处理请求
• 服务端发回一个HTTP响应

Web应用的组成与网页的渲染

浏览器特性与安全策略

Cookie的安全策略

内容安全策略

XSS

XSS，全称跨站脚本(Cross Site Scripting), 一种注入式攻击方式。

XSS成因

• 对于用户输入没有严格控制而直接输出到页面
• 对非预期输入的信任

XSS的危害

• 盗取各类用户账号，如机器登录账号、用户网银账号、各类管理员账号
• 窃取数据
• 非法转账
• 挂马
• ……

XSS的分类

• 存储型(持久型)

• 反射型(非持久型)

  • http://www.xx.com/search.html?key_ pro="><script>confirm(1501)</script>

• DOM型

  • 其实DOM型也属于反射型的一种，不过比较特殊，所以一般也当做一种单独类

• 其他XSS类别

  • mXSS(突变型XSS)
  • UXSS(通用型XSS)
  • Flash XSS
  • UTF-7 XSS
  • MHTML XSS - 仅IE低版本
  • CSS XSS - 仅IE低版本
  • VBScript XSS - 仅IE

CSRF

CSRF,全称跨站伪造请求(Cross-site request forgery),也称为one click attack/session riding,还可以缩写为XSRF。

CSRF与XSS的区别

• XSS:利用对用户输入的不严谨然后执行JS语句
• CSRF:通过伪造受信任用户发送请求
• CSRF可以通过XSS来实现

CSRF的防御方法

• 通过验证码进行防御
• 检查请求来源
• 增加请求参数token