小鱼二

CSRF（Cross Site Request Forgery, 跨站域请求伪造）是一种网络的攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在并未授权的情况下执行在权限保护之下的操作，有很大的危害性。然而，该攻击方式并不为大家所熟知，很多网站都有 CSRF 的安全漏洞。本文首先介绍 CSRF 的基本原理与其危害性，然后就目前常用的几种防御方法进行分析，比较其优劣。最后，本文将以实例展示如何在网站中防御 CSRF 的攻击，并分享一些开发过程中的最佳实践。

内容分发网络（Content delivery network 或 Content distribution network，缩写：CDN）是指一种通过互联网互相连接的电脑网络系统，利用最靠近每位用户的服务器，更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户，来提供高性能、可扩展性及低成本的网络内容传递给用户。

而要理解网页中元素是如何 “论资排辈” 的，就需要深入理解 CSS 中的层叠上下文和层叠顺序。 我们大家可能都熟悉 CSS 中的 z-index 属性，需要跟大家讲的是，z-index 实际上只是 CSS 层叠上下文和层叠顺序中的一叶小舟。

众所周知，虽然 JavaScript 是个很灵活的语言，浏览器里很多原生的方法都可以随意覆盖或者重写，比如 alert。但是为了保证网页的安全性和网页制作者的一定控制权，有些浏览器对象是无法更改的，比如 “window.location” 对象，或者对它们的更改是无效的，比如”window.navigator”对象。然而，最近我发现 Chrome 出现了一个小“bug”，在 Chrome 50+ 版本中，通过一些技巧可以轻易地重写这些对象，从而让恶意代码可以控制网页编写者的跳转行为。

CSP 虽然提供了强大的安全保护，但是他也造成了如下问题：Eval 及相关函数被禁用、内嵌的 JavaScript 代码将不会执行、只能通过白名单来加载远程脚本。这些问题阻碍 CSP 的普及

👻

👍🏻

样式表啥时候 loaded? (各种兼容性方法)

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。