安全见闻（2）

软件程序

软件程序通常由源代码组成，这是人类可读的文本形式的指令。源代码可以被编译成机器代码，这是计算机可以直接执行的二进制形式，或者被解释执行，即在运行时逐行翻译成机器代码。

不同软件的本质实际就是代码。

1. 编程语言与前端安全

   - HTML、CSS、JavaScript是前端开发的基础语言，它们各自存在不同的安全问题，如点击劫持、注入和XSS等。
   - 前端安全漏洞包括信息泄露、XSS、CSRF、点击劫持、访问控制、Web缓存漏洞、跨域漏洞和请求走私。

2. 代码库与框架

   - 代码库（如JQuery、Bootstrap、ElementUI）和框架（如Vue、React、Angular）用于简化开发过程，提高开发效率。
   - 框架通常基于HTML、CSS和JavaScript构建，有助于分析和防范XSS等安全问题。

3. 后端语言与数据库

   - 后端语言（如PHP、Java、Python等）对于理解后端安全至关重要，包括反序列化漏洞、SQL注入和命令注入。
   - 数据库安全同样重要，潜在漏洞包括SQL注入、XSS和命令注入，数据库分为关系型（如MySQL、PostgreSQL）和非关系型（如MongoDB、Redis）。

4. 服务器程序与网络安全

   - 服务器程序（如Apache、Nginx、IIS等）存在信息泄露、文件上传、文件解析、目录遍历和访问控制等潜在漏洞。
   - 网络安全的核心在于理解攻击和防御，即“懂进攻，知防守”。

5. 学习态度与方法

   - 保持谦逊，认识到自己的不足，持续学习是成为优秀开发者的关键。
   - 学习后端语言和数据库对于全面理解Web安全至关重要，即使它们可能看起来与前端开发不直接相关。

在视频学习之余，可以自主学习 mysql，python，JavaScript提升基本能力。

补充

一.

1. XSS (Cross-Site Scripting): XSS是一种安全漏洞，攻击者可以利用它在用户的浏览器中执行恶意脚本。XSS攻击通常分为三类：反射型、存储型和DOM型[^7^]。

2. CSRF (Cross-Site Request Forgery): CSRF是一种攻击方式，攻击者诱导用户在他们已认证的网站上执行非本意的操作。CSRF攻击利用的是网站对用户网页浏览器的信任[^32^]。

3. 点击劫持 (Clickjacking): 点击劫持是一种攻击手段，攻击者通过技术手段欺骗用户点击本没有打算点击的位置，从而执行恶意操作[^34^]。

4. 访问控制 (Access Control): 访问控制是网络安全的核心元素，规定谁可以在怎样的条件下访问特定的应用、数据和资源[^16^]。

5. Web缓存漏洞: Web缓存漏洞包括缓存欺骗和缓存中毒，攻击者可以利用这些漏洞来获取或篡改缓存中的敏感数据[^1^]。

6. 跨域漏洞 (CORS): 跨域漏洞是由于CORS机制配置不当，攻击者可以利用它从恶意网站跨域读取受保护的资源[^36^]。

7. 请求走私 (Request Smuggling): 请求走私是一种技术，攻击者通过发送特制的HTTP请求，利用服务器对请求解析的差异来绕过安全控制[^46^]。

8. JQuery: JQuery是一个快速、小型且功能丰富的JavaScript库，简化了HTML文档遍历、事件处理、动画和Ajax[^5^]。

9. Bootstrap: Bootstrap是一个用于开发响应式布局、移动设备优先的WEB项目的HTML、CSS和JS框架[^11^]。

10. ElementUI: Element UI是一套基于Vue 2.0的桌面端组件库，提供丰富的组件帮助开发人员快速构建界面[^3^]。

11. MySQL & PostgreSQL (关系型数据库): 这两种数据库用于存储和管理结构化数据，支持SQL查询语言[^3^]。

12. MongoDB & Redis (非关系型数据库): 非关系型数据库用于存储和管理非结构化或半结构化数据，提供灵活的数据模型[^3^]。

13. Apache, Nginx, IIS (服务器程序): 这些是常见的Web服务器软件，用于处理HTTP请求和提供Web服务[^9^]。

二.

1. Vue.js: Vue是一个渐进式JavaScript框架，用于构建用户界面。它提供了一个易于上手的API，使得开发者可以轻松地将Vue集成到现有的项目中。Vue的核心库专注于视图层，易于学习和集成，同时也可以与其他库或现有项目整合。

2. React: React是一个由Facebook开发的JavaScript库，用于构建用户界面，特别是单页应用程序。它允许开发者使用组件化的方式来构建复杂的UI。React的虚拟DOM是其性能优化的关键，它减少了真实DOM操作，从而提高了应用的渲染效率。

3. Angular: Angular是一个由Google维护的开源Web应用框架，用于开发大型、高性能的Web应用。它是MVC（模型-视图-控制器）架构的一个实现，提供了一套完整的解决方案，包括模板、数据绑定、路由、表单处理等。Angular具有强大的社区支持和丰富的生态系统。

4. 框架的安全性: 尽管Vue、React和Angular提供了许多内置的安全特性，如防止XSS攻击的自动编码，但开发者仍需注意安全实践，如正确使用HTTP头、避免CSRF攻击等。

5. 框架的生态系统: 这些框架都有丰富的生态系统，包括大量的第三方库和工具，可以帮助开发者提高开发效率。例如，Vue CLI、Create React App和Angular CLI都是用于快速搭建项目的工具。

6. 框架的性能优化: Vue、React和Angular都提供了性能优化的工具和策略，如Vue的异步组件和React的代码分割。这些特性可以帮助开发者构建高性能的应用。

7. 框架的社区和文档: Vue、React和Angular都有活跃的社区和全面的文档，为开发者提供了丰富的学习资源和解决问题的途径。

8. 框架的灵活性: 这些框架都提供了高度的灵活性，允许开发者根据自己的需求定制开发工作流和工具链。

9. 框架的跨平台能力: Vue、React和Angular都支持跨平台开发，如Vue的Nuxt.js、React的React Native和Angular的Ionic，允许开发者使用相同的技术栈开发Web和移动应用。