从IE8 beta2 开始，微软加入了xss Filter。如同大部分安全产品一样，防护的对策就是利用规则去过滤攻击代码，基于可用和效率的考虑，同时加入黑白名单策略（即同源策略）。

CSRF（Cross-site request forgery）跨站请求伪造，由于目标站无token/referer限制，导致攻击者可以用户的身份完成操作达到各种目的。根据HTTP...

当你看到一个参数的值是url的时候你会想到什么？结合wooyun里的案例看，可能产生的危害分为三方面：

整理了下Flash安全相关的知识，后面会再完善 flash如何跨域通信，全靠crossdomain.xml这个文件。这个文件配置在服务端，一般为根目录下，限制了flash是否可以跨...

同源策略（Same Origin policy，SOP），也称为单源策略（Single Origin policy），它是一种用于Web浏览器编程语言（如JavaScript和Aj...

调用方式有三种：浏览器进行解析的时候会先HTML解析再做CSS解析，所以下面的代码会出错：

在任何HTML文档中，最开始的<!DOCTYPE>用来指示浏览器需要解析的方式，同样也可使用Content-Type头来告诉浏览器。

URL格式：下面详细解释一下各个部分：scheme是协议名不区分大小写，以冒号结尾，表示需要使用的协议来检索资源。

http://192.168.136.131/sqlmap/mysql/get_int.php?id=1当给sqlmap这么一个url的时候，它会：sqlmap支持五种不同的注入模...

验证码作为一种辅助安全手段在Web安全中有着特殊的地位，验证码安全和web应用中的众多漏洞相比似乎微不足道，但是千里之堤毁于蚁穴，有些时候如果能绕过验证码，则可以把手动变为自动，对...

这里用浅谈，因为这块也只能算是有点研究，也希望看到本文的各位如果能有所收获即可。如果不喜欢，也请不要喷。码这么多字很不容易，做一个分享者更是如此。

译自：《Pro PHP Security》即使是最普通的字母数字输入也可能是危险的，列举几个容易引起安全问题的字符：