在 Web 安全领域中，XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。

之前每次看到类似“http与https的区别？”的问题时，都会自己思考一下答案，好像只是浅显地知道https比http安全，但究竟为什么更安全，却又似乎说不出个所以然，或者说很多细节地方自己都是不清楚的。为了搞清楚，也为了系统地了解一下http相关的知识，前段时间阅读了一波《图…

之前说到HTTPS，在我的概念中就是更安全，需要服务器配置证书，但是到底什么是HTTPS，为什么会更安全，整套流程又是如何实现的，在脑子里没有具体的概念。所以，我花了几天的时间，通过参考一些文章，学习了HTTPS整套机制的实现，想要通过一篇文章把我学习到的东西总结出来，让更多之…

1. HTTP协议存在的问题 阅读本篇需要对HTTP协议有最基本的了解。 在网购过程中，如果使用纯粹的HTTP协议，那么用户的账号密码，信用卡，银行卡信息都将在信息传输过程中直接裸奔。从例子中我们可以看到信用卡信息直接被明文传输了。除了明文传输之外，还存在着以下两个问题: 无法…

我们先来看下数据在互联网上数据传递可能会出现的三个比较有代表性的问题，其实后面提到的所有方法，都是围绕解决这三个问题而提出来的。 最后，X 用他自己的密钥加密响应数据，并发送给 A，就这样，虽然 A、B 双方能顺利完成通信，但是恶意的第三方 X 能看到解密后的请求数据和响应数据…

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 SSO一般都需要一个独立的认证中心（passport），子系统的登录均得通过passpor…