网络安全

• 常见网络攻击：xss攻击，跨站点脚本攻击，恶意篡改网页的前端代码。 反射型：引诱点击链接，返回恶意脚本，在浏览器中获取信息 可以对cookie设置httponly进制浏览器窃取 持久型：把恶意脚本发给服务器，如果要读取这个恶意脚本，就可能有问题 可以对一些http标签进行过滤
• sql注入：执行恶意sql。 解决方案，不要在浏览器回显未经捕获的错误信息，暴露表结构。采用预编译，把黑客脚本当成参数而不是执行他
• csrf：跨站点请求伪造。解决方案：加拼图，给随机token下次验证，httponly属性，referer请求头，可以验证是不是从自己网页来的
• 文件上传校验：用魔数校验，可以压缩文件，破坏原文件
• DOS攻击：高性能服务器并发请求，打满你的机器资源。
• DDos：控制肉鸡一起发送目标服务器，分布式dos攻击。 SYN Flood模式：tcp的三次握手，只发送第一步SYN，就是不发第三步，服务器会给肉鸡预留资源 DNS query Flood：大量请求不存在的域名，攻击DNS服务器 cc http Flood：控制大量http代理服务器，发送大量http请求到服务器
• 网关防止攻击：过滤xss请求，过滤sql注入

网络请求

• OSI七层模型：应用层，表示层，会话层，传输层，网络层，数据链路层，物理层
• TCP/IP四层模型：数据链路层（以太网协议），网络层（ip协议），传输层（tcp协议），（应用层（http协议）--应用层，表示层，会话层，物理层）
• 两台电脑连接的基础是物理层，比如网线，发送的电信号需要按照协议（如以太网协议），记录自己的消息头和消息体，消息头内有mac地址，会记录自己电脑 地址和网卡唯一编号，准备发送给谁，ipv4和子网掩码做与运算，前三个地址相同说明是同一子网。不在同一子网不能直接发信息，只能通过交换机和路由器 把消息传过去，arp协议，ip地址和mac地址的对应关系
• 浏览器输入www.baidu.com运行流程，首先是http数据包和请求报文，相当于是某个程序要发送的数据，要发送，得找个门出去，所以有了tcp数据包和tcp数据头， 记录端口号，出了门，得知道要去哪，得有对方位置吧，所以外层是ip数据包和ip数据头，即双方ip地址，知道地址了，那怎么去呢？找车站，中转，所以外层是 以太网数据包和数据头，里面记录了网卡mac地址
• http 1.0 tcg默认短连接，http1.1支持长连接 http2.0支持多路复用