本文从属于笔者的信息安全实战中 Web 渗透测试实战系列文章。建议先阅读下 Martin Fowler 的网络安全基础。

随着面临的风险日渐增多，我们应该将所有的网络数据当做敏感数据并且进行加密传输。已经有很多的浏览器厂商宣称要废弃所有的非 HTTPS 的请求，乃 至于当用户访问非 HTTPS 的网站的时候给出明确的提示。很多基于 HTTP/2 的实现都只支持基于 TLS 的通信，所以我们现在更应当在全部地方使用 HTTPS。

Chrome 浏览器地址栏标志着 HTTPS 的绿色小锁头从心理层面上可以给用户专业安全的心理暗示，本文简单总结一下如何在 Nginx 配置 HTTPS 服务器，让自己站点上『绿锁』。

HTTP/1.1 允许在持久连接上使用管道，但是在浏览器上却几乎不会开启管道功能，chrome 之前的老版本还可以在 chrome://flags 里面来选择开启或关闭管道功能，最新的版本已经移除了管道相关选项。为什么不加入管道化连接提升性能呢，主要有几个原因：其一是管道化持久连接实现复杂，容易出 bug，且不易调试。其二是一些不标准的代理导致管道化容易出现很多难以预料的问题，导致开发人员调试十分复杂。

谈谈对 Web 安全的理解: 作为一个前端 er，详细介绍了 CSRF 攻击，XSS 攻击，SQL 注入，SYN 攻击等等。

更好阅读体验：《理解 TCP 和 UDP》— By Gitbook TCP 是面向字节流的，但传送的数据单元却是报文段。 什么是报文？例如一个 100kb 的 HTML 文档需要传送到另外一台计算机，并不会整个文档直接传送过去，可能会切割成几个部分，比如四个分别为 25kb 的…

CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。

使用 openSSL 创建自己的 CA 机构，签发证书并观察普通 tcp 通信和 tls 安全通信的区别，最后将证书用于 https 服务。

WebSocket 是一个计算机通信协议，通过一个 TCP 连接提供全双工的通信频道。2011 年 IETF 在 RFC6455 文件中标准化了 WebSocket 协议，WebSocket 的 Web IDL 格式的 API 是 W3C 标准化的。