这是我参与「第四届青训营」笔记创作活动的第三天

Web标准与前端开发

上网指介入Internet，是地球上相互连接的计算机构成的网络。计算机网络诞生于上世纪的60年代，标志性通信协议是TCP/IP。

Web由三种技术构成：

HTML：表示网络结构
HTTP：超文本传输协议
URL：统一资源定位符

To Business：企业级应用，例：大型的银行，机构等

To Customer：规模庞大，信息共享，例：门户网站，电商平台，生活娱乐平台

To Developer：提高外部开发效率，开发者自产自销

Web开发的安全之旅

XSS特点：

通常难以从UI上感知（暗地执行脚本）
窃取用户信息（cookie/token）
绘制UI（例如弹窗），诱骗用户点击/填写表单

reflected XSS：
不涉及数据库
从URL上攻击

DOM-based XSS：
不需要服务器的参与
恶意攻击的发起+执行，全在浏览器完成

Mutation-based XSS：
利用了浏览器渲染 DOM 的特性（独特优化）
不同浏览器，会有区别（按浏览器进行攻击）

CSRF： 在用户不知情的前提下 利用用户权限（cookie） 构造制定HTTP请求，窃取或修改用户敏感信息

DoS：通过某种反噬，导致服务器资源被显著消耗，来不及响应更多请求，导致请求挤压，进而雪崩效应

DDoS：短时间内，来自大量僵尸设备的请求流量，服务器不能及时完成全部请求，导致请求堆积，进而雪崩效应，无法响应新请求

总结：

随着网络的发展，人们的个人隐私信息越来越容易获取，从而网络安全也变得越来越重要，通过今天的课，我了解到了如何诱导用户去点击网站上出现的别有用心的弹窗，让我明白了不良开发者的套路，既增长了关于网页前端的知识，又让我以后更能识别出一些不安全的按钮或者链接。