YimWu

说到 cookie、token 应该没有人不知道的吧，而如果说让大家说出 cookie、token 到底是什么关系，大家能说出来吗，往往这种看似简单的东西，一到关键的场面，就很容易让我们陷入尴尬，明明

今天文章的标题依然是道选择题，当经历多了我们就会发现，选择题往往才是最坑人的，当面试官丢出一道选择题时，困难点其实不是选A还是选B，往往是全选与全不选的大坑等着我们往里跳，因此面对任何一个知识点，无关

顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操作命令。webshell就是以 asp、php、jsp或者cgi等网页文件形式存在的一种代码执行

文件上传作为 Web 应用系统中最最常见的功能，因此文件上传漏洞也算是 Web 安全漏洞中最普遍存在的漏洞了，而由于文件上传涉及到服务器文件系统，因此具有非常大的安全风险，作为开发人员，在对待文件上传

有一句话说得特别好“凡是能够用JS实现的东西，最终都会用JS来实现”，从目前 JS 以及 JS 相关的框架、库的发展来看，前端的能力圈已经有渗透各个领域的趋势了，这对于前端开发人员提出了非常大的挑战，

对于水平越权，可以说是非常非常常见的漏洞了，相比于垂直越权，似乎并不那么严重，毕竟涉及到的并不是超级管理员权限，但是恰恰是这个原因，导致了许多开发者对这种安全问题视而不见，最终导致了相关信息的泄露，因

今天继续介绍一个主要出现在前后端接口定义的安全问题，我们都知道，为了使使用同一套系统的人能够进行不同的操作，我们常常会进行角色的设置，也就是说，我们前后端约定了一个接口规则，通过接口获取的角色进行对应

黑客终于想到了一个非常可取的方案，那就是让阿猫网不定时宕机，影响消费者的好感度，进而打压其市场份额。于是黑客开始实施该方案，首先通过在网络上搭建钓鱼网站，诱骗安全意识较低的网民下载提前写好的具有高传播

对于用户输入的东西，在前端就做好过滤，然后再提交到后端，这才是一个合格的前端需要养成的良好习惯，永远不要将安全责任都推到后端身上，因为我们需要相信，前端+后端，永远是更加安全和稳固的安全开发范式！