“有人的地方就有江湖，有数据库存在的地方就可能存在 SQL 注入漏洞。” 在所有漏洞类型中，SQL 注入可是说是危害最大最受大家关注的漏洞。简单说来，SQL 注入是通过在用户可控参数中注入SQL语法，破坏原有SQL结构，达到编写程序时意料之外结果的攻击行为。还是以 ThinkJ…

缓存机制无处不在，有客户端缓存，服务端缓存，代理服务器缓存等。在HTTP中具有缓存功能的是浏览器缓存。 HTTP缓存作为web性能优化的重要手段，对于从事web开发的朋友有重要的意义。本文将围绕以下几个方面来整理HTTP缓存： 我们知道HTTP的缓存属于客户端缓存，后面会提到为…

普及：浏览器的兼容性问题，往往是个别浏览器（没错，就是那个与众不同的浏览器）对于一些标准的定义不一致导致的。俗话说：没有IE就没有伤害。 贴士：内容都是自己总结的，不免会出现错误或者bug，欢迎更正和补充，本帖也会不断更新。 Normalize.css 不同浏览器的默认样式存在差…

注入漏洞攻击的本质，web应用程序没有对过滤用户输入*，直接把用户输入的恶意数据当代码执行。

前端面试常问第二大问题是http缓存相关内容。说真的，http缓存相关的细节比较多，并且 http 常用协议版本有1.0、1.1，（本文暂不讨论http2.0）。 我们先罗列一下和缓存相关的请求响应头。 今天着重介绍一下浏览器缓存机制，我们知道，浏览器缓存一般都是针对静态资源，…

跨站脚本攻击XSS是一种经常在web应用中的计算机安全漏洞也是web中最主流的攻击方式。 XSS的根源主要是没完全过滤客户端提交的数据 ，所以重点是要过滤用户提交的信息。 将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能…

在 Web 安全领域中，XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。

CORS 与 cookie 在前端是个非常重要的问题，不过在大多数情况下，因为前后端的 domain 一般是相同的，所以很少去关心这些问题。或者只是要求后端设置 Access-Control-Allow-Origin: * 就行了，很少去了解背后运作的机制。 针对这个问题，MD…