一，Web安全的关键点

　　1.同源策略是众多安全策略的一个，是Web层面上的策略，非常重要。

　　2.同源策略规定：不同域的客户端脚本在没明确授权的情况下，不能读写对方的资源。

　　3.同域要求两个站点同协议，同域名，同端口。

　　4.当然，在同一个域内，客户端脚本可以任意读写同源内的资源，前提是这个资源本身是可读可写的。

　　5.安全类似木桶原理，短的那块板决定了木桶实际能装多少水。一个Web服务器，如果其上的网站没做好权限分离，没控制好信任关系，则整体安全性就由安全性最差的那个网站决定。

　　6.一个安全性非常好的网站有可能会因为建立了不可靠的信任关系，导致网站被黑。

　　7.CSRF是跨站请求伪造。CSRF会借用目标用户的权限做一些借刀杀人的事（注意是“借用”，而不是“盗取”目标权限），然后去做坏事，“盗取”通常是XSS（跨站脚本攻击）最喜欢做的事。

　　二，前端基础

　　1.为了解决CSS兼容性而发展的CSS Reset技术，该技术会重置一些样式（这些样式在不同的浏览器中有不同的呈现），后续的CSS将在这个基础上重新开始定义自己的样式。

　　2.为了解决JavaScript兼容性，诞生了许多优秀的JavaScript框架，如jQuery, YUI等等。

　　3.URL的请求协议几乎都是HTTP，它是一种无状态的请求响应，即每次的请求响应之后，连接会立即断开或延时断开（保持一定的连接有效期），断开后，下一次请求再重新建立。

　　4.HTTP是无状态的，那么每次在连接时，服务端如何知道你是上一次的那个？这里通过Cookies进行会话跟踪，之一次响应时设置的Cookies在随后的每次请求中都会发送出去。Cookies还可以包括登录认证后的身份信息。

　　5.iframe标签还有一些有趣的安全话题，当网站页面使用iframe方式潜入一个页面时，我们约定网站页面是父页，而被嵌入的这个页面是子页。

　　6.如果父页和子页之间是同域，那就很容易，父页可以通过调用子页的contentWindow来操作子页的DOM树，同理，子页可以调用父页的contentWindow来操作父页的DOM树。如果它们不同域，则必须遵守同源策略，但子页还是可以对父页的location值进行写操作，这样可以让父页重定向到其他网页，不过对location的操作仅仅只有写权限，而没有读权限，这样就不能获取父页location URL的内容，否则有可能会造成隐私数据泄漏，比如，有的网站将身份认证token存在于URL中。

　　7.对跨站师来说，大多数情况下，有了XSS漏洞，就意味着可以注入任意的JavaScript，有了JavaScript，就意味着被攻击者的任何操作都可以模拟，任何隐私信息都可以获取到。可以说，JavaScript就是跨站之魂。

　　8.从window.location或location处可以获取URL地址中的数据。

　　9.异步和同步对应，异步可以理解为单独开启了一个线程，独立于浏览器主线程去做自己的事，这样浏览器就不会等待（阻塞），这个异步在后台悄悄进行，所以利用AJAX的攻击显得很诡异，无声无息。AJAX本身就是由JavaScript构成的，只是XML并不是必需的，XML在这里是想指数据传输格式是XML，比如，AJAX发出去的HTTP请求，响应回的数据是XML格式，然后JavaScript去解析这个XML DOM树得到相应节点的内容。其实响应回的数据格式还可以是 *** ON（已经是主流），文本，HTML等等。AJAX中特别提到XML是因为历史原因。

　　10.AJAX的核心对象是XMLHttpRequest。

　　11.AJAX是严格遵守同源策略的，既不能从另一个域读取数据，也不能发送数据到另一个域。不过有一种情况，可以发送数据到另一个域，W3C的新标准中，CORS开始推进浏览器支持这样的跨域方案，现在的浏览器都支持这个方案了，过程如下：

　　来源域）的AJAX向目标域）发起了请求，浏览器会给自动带上Origin头，如下：

　　Origin:

　　然后目标域要判断这个Origin值，如果是自己预期的，那么就返回。

　　12.如果目标域不设置Access-Control-Allow-Origin：那么隐私数据可以被偷到吗？答案是肯定的。

　　13.对于GET方式，实际上就是一个URL。

　　14.对于POST的请求，前面说的XMLHttpRequest对象就是一个非常方便的方式，可以模拟表单提交，它有异步与同步之分，差别在于XMLHttpRequest实例化的对象xhr的open *** 的第三个参数，true表示异步，false表示同步，如果使用异步方式，就是AJAX。异步则表示请求发出去后，JavaScript可以去做其他事情，待响应回来后会自动触发xhr对象的onreadystatechange事件，可以监听这个事件以处理响应内容。同步则表示请求发出去后，JavaScript需要等待响应回来，这期间就进入阻塞阶段。

　　15.Cookie是一个神奇的机制，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。

　　16.Cookie经常被用来存储用户的会话信息，比如，用户登录认证后的Session，之后同域内发出d请求都会带上认证后的会话信息。

　　17.HttpOnly是指仅在HTTP层面上传输的Cookie，当设置了HttpOnly标志后，客户端脚本就无法读写该Cookie，这样能有效地防御XSS攻击获取Cookie。

　　18.Secure Cookie机制指的是设置了Secure标志的Cookie仅在HTTPS层面上安全传输，如果请求是HTTP的，就不会带上这个Cookie，这样能降低重要的Cookie被中间人截获的风险。

　　19.本地Cookie与内存Cookie，它与过期时间（Cookie的expires字段）紧密相关。如果没设置过期时间，就是内存Cookie，这样的Cookie会随着浏览器的关闭而从内存中消失；如果设置过期时间是未来的某个时间点，那么这样的Cookie就会以文本形式保存在操作系统本地待过期时间到了才会消失。

　　20.删除Cookie时，仅需设置过期值为过去的时间即可。Cookie无法跨浏览器存在。

　　21.Flash是跨浏览器的通用解决方案，Flash Cookie的默认存储数据大小是100KB。

　　22.如果在h1之前有大段非法字符，如何保证h1的代码顺利解析？在h1之前加上｛｝即可，如果是在IE下，加上｝即可，这是浏览器解析差异导致的。

　　｛｝h1｛font-size:50px; color:red;｝

　　三，前端黑客之XSS

　　1.XSS即跨站脚本，发生在目标网站中目标用户的浏览器层面上，当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时，XSS就会发生。

　　目标网站的目标用户：这里强调了场景

　　浏览器：因为这类攻击是由浏览器来解析执行的。

　　不被预期的：那么就很可能是攻击者在输入时提交了可控的脚本内容，然后在输出后被浏览器解析执行。

　　2.跨站脚本的重点不在“跨站”上，而应该在“脚本”上，这是从字面上来分析的。因为这个“跨”实际上属于浏览器的特性，而不是缺陷，造成“跨”这样的假象是因为绝大多数XSS攻击都会采用嵌入一段远程或者说第三方域上的脚本资源。

　　3.通俗地总结XSS为：想尽一切办法将你的脚本内容在目标网站中目标用户的浏览器上解析执行即可。

　　4.XSS有三类：反射型XSS（也叫非持久性XSS），存储型XSS（也叫持久型XSS）和DOM XSS 。

　　5.存储型XSS的攻击是最隐蔽的。

　　四，前端黑客之CSRF

　　1.在跨站的世界中，CSRF同样扮演着及其重要的角色。CSRF的全称是Cross Site Request Forgery，即跨站请求伪造。

　　攻击的发生是由各种请求造成的，对于CSRF来说，它的请求有两个关键点，跨站点的请求与请求是伪造的。

　　2.安全风险总是出现在正常的流程中，现在我们发出的是一个删除文章的GET请求，对于合法的跨域请求，浏览器会放行。

　　3.HTML中能够设置src/href等链接地址的标签都可以发起一个GET请求。

　　4.还有通过JavaScript动态地生成的标签对象或CSS对象发起的GET请求，而发出POST请求只能通过form提交方式。

　　5.由于 *** ON格式的简洁与强大，网站开始逐渐使用 *** ON代替传统的XML进行数据传输。

　　6. *** ON数据如果以字典形式返回，直接在浏览器中显示会报错，原因是浏览器以为“｛”开头的脚本应该是一段左右花括号包围住的代码块。所以，对这种 *** ON数据的处理，一般会这样：

　　eval(“（”+ *** ON_DATA+")"); //前后加上圆括号

　　7.对于使用列表形式返回的 *** ON数据，它是一个Array对象，以前可以通过劫持Array数据来进行 *** ON HiJacking攻击。

　　五，前端黑客之界面操作劫持

　　1.界面操作劫持攻击时一种基于视觉欺骗的Web会话劫持攻击，它通过在网页的可见输入控件上覆盖一个不可见的框（iframe），使得用户误以为在操作可见控件，而实际上用户的操作行为被其不可见的框所劫持，执行不可见框中的恶意代码，从而完成在用户不知情的情况下窃取敏感信息，篡改数据等攻击。

　　2.界面操作劫持分为三种：点击劫持，拖放劫持和触屏劫持。

　　3.在浏览器中，拖放操作是不受“同源策略”限制的，用户可以把一个域的内容拖放到另一个不同的域。因此，突破同源策略限制的拖放劫持可以演化出更广泛的攻击形式，突破很多种防御。

　　4.控件位置之间的层次关系使用z-index，而且任何浏览器都支持：

　　 z-index：1，数值可以是负数，高数值的控件会处于低数值控件的前面，数值越高，控件越靠近用户。

　　

　　六，漏洞挖掘

　　1.回到XSS漏洞挖掘上，上面说了攻击者可控的输入点有,,三个，其实里的值一般不会出现在服务端解析，除非Web 2.0网站。

　　2.最普通的场景出现在

位置，那么提交：

　　七，漏洞利用

　　１.＜ｓｃｒｉｐｔ＞标签请求内容可跨域，这是合法的功能，请求到是数据必须是合法的ＪａｖａＳｃｒｉｐｔ语法格式。这种技术在之前有提过，包括请求回来的是ＪＳＯＮ＋ＣａｌｌＢａｃｋ函数这样的数据内容（这种跨域数据通信被称为ＪＳＯＮＰ）。

　　

　　八，ＨＴＭＬ５安全

　　

　　九，Ｗｅｂ蠕虫

　　１.Ｗｅｂ蠕虫主要包括：ＸＳＳ蠕虫，ＣＳＲＦ蠕虫，Ｃｌｉｃｋｊａｃｋｉｎｇ蠕虫，这三类蠕虫都与具体的漏洞风险有关系，从名字上很好区分。为了更好地表述Ｗｅｂ蠕虫思想，会顺带提及第四类：文本蠕虫。

　　２.这些蠕虫除了利用的漏洞不一样，其本质是一样的，都是使参与进Ｗｅｂ２.０交互的用户受到了欺骗，导致被动或主动（或介于两者之间）地传播了威胁。从ＸＳＳ蠕虫到ＣＳＲＦ蠕虫，再从Ｃｌｉｃｋｊａｃｋｉｎｇ蠕虫到文本蠕虫，越往后，社工的成分越大。

　　３.利用了大众的心理，在心理作用的驱使下去传播，我们称之为文本蠕虫。

　　４.蠕虫具有的最主要的两个性质如下：传播性和病毒行为。

　　

　　十，关于防御

　　黑客是众所周知的入侵高手或“黑边”黑客。下面为大家来介绍黑客入侵技术的10种手段：

　　诱导转向使用诱导转向入侵技术，黑客运行用户认为真实可信的恶意程序。在电脑上安装这类恶意程序后，黑客未经授权便可访问用户电脑。打个比方，一个商店做广告说他们正在出售许多价钱特别便宜的货品。可是当顾客来买的时候，他们就说那样东西已经卖完，他们建议顾客买别的，价钱很高的东西。

　　2.盗取Cookie

　　当第三方复制非加密的会话数据时会发生Cookie盗取，用来冒充真实用户。用户通过未经保护或公共Wi-Fi *** 访问信任站点时通常会发生Cookie盗取。虽然特定网站的用户名和密码会加密，但往返的会话数据（cookie）却没有。

　　3.点击劫持（ClickJacking）攻击

　　点击劫持，clickjacking，也被称为UI-覆盖攻击。这个词首次出现在2008年，是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。它是通过覆盖不可见的框架误导受害者点击。虽然受害者点击的是他所看到的网页，但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。这种攻击利用了HTML中

　　4. 病毒，木马

　　在电脑方面，木马是用来入侵电脑的恶意电脑程序，通过误导用户达到真实目的。 “木马” 这个词源于古希腊木马故事，当时木马用来帮助希腊军队暗中入侵特洛伊城。

　　5. *** 钓鱼

　　 *** 钓鱼式一种欺诈形式，攻击者假扮成知名实体或个人通过电子邮件、即时信息或其他沟通渠道试图获取信息，比如登录凭证或账号信息。最典型的 *** 钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。 *** 钓鱼是一种在线身份盗窃方式。

　　6. 窃听（被动式攻击）

　　被动式攻击是一种 *** 攻击，通过监控系统和扫描开放端口和漏洞实施攻击。目的仅仅是为了获取目标信息，并且不会改动目标数据。被动式攻击包括主动侦察和被动侦察。被动侦察中，入侵者在不交互的情况下，通过抓取会话等 *** 监控系统漏洞。

　　7. 虚假无线接入点（WAP）

　　虚假WAP已成为当今世界最容易完成攻击的策略，任何人使用一些简单的软件及一张无线网卡就可以将其电脑伪装成可用的WAP，然后将这个WAP连接到一个本地中现实、合法的WAP。一旦受害者连接假WAP，黑客便可以访问受害者的数据。

　　8. 水坑式攻击

　　“水坑式攻击”，是指黑客通过分析被攻击者的 *** 活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节：捕食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起攻击猎取食物。水坑攻击已经成为APT攻击的一种常用手段。

　　9. 拒绝服务（DoS\DDoS）

　　DDoS是一种DOS攻击，DDos攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量 *** 程序通讯， *** 程序已经被安装在 *** 上的许多计算机上。 *** 程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次 *** 程序的运行。

　　10.键盘记录器

　　键盘记录器是一种监控软件（被认为是软件或间谍软件），可以记录日志文件的每个击键，通常是加密的。键盘记录器可以记录即时信息、电子邮件以及任何使用键盘键入的信息。

　　PS最后说一下：我发了很多入门跟新手的学习 *** ，也比较简单容易理解，所以大家喜欢这门技术的话就合法的追求学习吧，很多人问我说学这门技术需要花多久时间，我觉得吧学这门技术跟智慧无关，最主要的还是兴趣！好了今天就讲到这里！

　　本人是大二信安狗，Web方面只是略懂HTML，PHP，JavaScript…担心基础知识不够，学这本书会很吃力

　　这本书之一章与第二章是本书的基础部分，很多人觉得第二章难，有个好办法是：根据第二章提到的各种词汇线索，动用搜索引擎，自己想办法去恶补……

　　没捷径！

　　表示买了这本书 放了半年 一直忘记看了

　　有点吃力，你的情况跟我差不多，我看了一半发现好多都看不太懂，所以就去恶补html,javascript,php了。

　　万事都有门道

　　HTML 的常见标签、 *** 的语法、PHP的语法和函数、浏览器的同源策略和DOM

　　这本书对于前端安全方面的很多前沿技术总结的挺好，但是对于新手来说不够友好，或者说搞这个方向的人写书很难对新手友好，因为他本身就是一门旁门左道的技术，越正统的书反而越学不到东西。