TTP（Hypertext Transfer Protocol）和HTTPS（Hypertext Transfer Protocol Secure）是Web應用程序中常見的數據傳輸協議。HTTP是一種無狀態的應用層協議，主要用于Web瀏覽器與服務器之間的通信。HTTPS則是在HTTP的基礎上加入了SSL（Secure Sockets Layer）或TLS（Transport Layer Security）協議，以提供數據加密和安全通信。

HTTP和HTTPS的區別

HTTP的工作原理

HTTP協議是一個基于請求-響應模式的協議。客戶端（通常是Web瀏覽器）向服務器發送請求，服務器處理請求并返回響應。HTTP請求和響應都由頭部和可選的主體組成。

HTTP的特點：

• 無狀態性：每次請求都是獨立的，服務器不會記錄任何客戶端信息。
• 明文傳輸：數據以明文形式傳輸，容易被竊聽和篡改。
• 性能高：由于不涉及加密解密過程，HTTP的通信效率相對較高。

HTTPS的工作原理

HTTPS在HTTP的基礎上加入了SSL/TLS協議，通過加密通信確保數據的安全性。SSL/TLS提供了三個主要功能：加密、數據完整性和身份驗證。

HTTPS的特點：

• 數據加密：通過對傳輸的數據進行加密，防止數據被竊聽。
• 身份驗證：通過數字證書驗證服務器的身份，確保數據傳輸到正確的服務器。
• 數據完整性：通過消息認證碼（MAC）確保數據在傳輸過程中未被篡改。

HTTP與HTTPS的對比

XSS攻擊（跨站腳本攻擊）

XSS（Cross-Site Scripting）攻擊是一種常見的Web安全漏洞，攻擊者通過在受信任的網站上注入惡意腳本，使其在用戶的瀏覽器上執行。XSS攻擊的主要目標是竊取用戶數據、劫持會話以及進行其他惡意操作。

XSS攻擊的類型

反射型XSS攻擊

反射型XSS攻擊通過將惡意腳本嵌入到URL參數中，誘騙用戶點擊包含惡意腳本的鏈接。當用戶點擊鏈接時，惡意腳本被反射到服務器的響應中，并在用戶瀏覽器中執行。

示例：

<a href="http://example.com?search=<script>alert('XSS')</script>">Click me</a>

存儲型XSS攻擊

存儲型XSS攻擊將惡意腳本存儲在服務器端的數據存儲中（如數據庫），當用戶訪問包含該數據的頁面時，惡意腳本被執行。此類攻擊通常發生在用戶輸入內容的地方，如評論區或論壇帖子。

示例：

<input type="text" name="comment" value="<script>alert('XSS')</script>">

DOM-based XSS攻擊

DOM-based XSS攻擊利用網頁的DOM結構，通過操作DOM元素觸發惡意腳本。與反射型和存儲型不同，DOM-based XSS攻擊不依賴服務器端的響應，而是直接在客戶端進行。

示例：

<script>
  var search = location.hash.substring(1);
  document.write("<div>" + search + "</div>");
</script>

防范XSS攻擊的方法

輸入驗證和過濾

對用戶輸入的數據進行嚴格驗證和過濾，確保只接受預期格式的輸入。可以使用正則表達式或白名單來限制輸入內容。

示例：

import re
def validate_input(user_input):
    if re.match("^[a-zA-Z0-9_]+$", user_input):
        return True
    return False

輸出編碼和轉義

對輸出到瀏覽器的數據進行編碼和轉義，防止惡意腳本在瀏覽器中執行。常用的方法包括HTML實體編碼和JavaScript轉義。

示例：

<!-- HTML實體編碼 -->
<div>{{ user_input | escape }}</div>

使用內容安全策略（CSP）

內容安全策略（CSP）是一種Web安全策略，通過限制頁面可以加載的資源類型，防止XSS攻擊。可以通過設置HTTP頭部或HTML meta標簽來配置CSP。

示例：

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self';">

思維導圖

為了更好地理解HTTP、HTTPS和XSS攻擊的概念，下面提供了一張思維導圖：

以上內容詳細介紹了HTTP和HTTPS的工作原理及其區別，以及XSS攻擊的類型和防范方法。通過這些知識的理解和應用，可以有效提升Web應用的安全性，防范潛在的安全威脅。

SS，中文名稱：跨站腳本攻擊。聽名字就很霸氣，的確是，不但霸氣，還很難學（好多程序員都不會，為啥？）。它還有一個孿生兄弟，名叫：SQL注入。這個聽過沒有？

為啥說SQL注入是它的孿生兄弟呢？這個就，小孩沒娘說來話長了。話說，Web互聯網剛起步的時候，就為這倆貨誕生埋下了罪惡種子。XSS如果換個名字就更容易理解，有人把XSS叫作：HTML注入，是不是感覺和SQL注入的名字很像？

有人要問了，你說他們是孿生兄弟，不會是因為他們的名字很像吧？Of course not。說他們是孿生兄弟是因為他們倆在安全界，總是被相提并論，總是一起被拿出來研究，總是一起被黑客利用，總是...。

言歸正傳，當年小編第一次接觸XSS的時候，不知其為何物。曾嘗試用它彈出一個alert框，心中充滿了困惑：彈個框出來，有個毛線用？于是就把它放一邊，潛心研究SQL注入，因為SQL注入再賴，但也能實現讓你繞過密碼驗證從而非法登錄，是不是很厲害？但是學了很長時間，只學會了一個：' or 1=1# 。感覺自己不適合學習這些高級的技術，因為自己只會根據書本上的例子，寫個測試Demo，離開書本，在實際運用中，無從下手。

痛定思痛，小編決定重新學習這方面的知識。從XSS開始，一步一個腳印，一步一個坑。

下邊從一個簡單的例子說明一下XSS到底是個啥東西？

首先：建一個PHP頁面，下圖是后臺代碼：

第二步：通過GET請求正常訪問這個頁面。鏈接參數param為：XSS測試。鏈接如下：

http://localhost:82/xxs-case1.php?param=XSS測試

結果如下圖：

看到結果，是我們代碼期望的結果，沒問題。

下一步兒我來測試一下XSS。

第三步：發送帶HTML代碼的參數，看看效果。鏈接參數：

http://localhost:82/xxs-case1.php?param=<script>alert('XSS測試')</script>

頁面沒有按我們預想的那樣，返回：<script>alert('XSS測試')</script>，而是把我們的參數當代碼，執行了，然后彈出了一個alert框。

總結一下：

首先重點強調，XSS攻擊跟后臺用什么語言開發無關，這里用PHP演示學習，只是因為小編擅長PHP，不是因為PHP的漏洞多。

其次：XSS，形成的原因是：開發人員沒有把數據和代碼區分開來。就像是應用軟件中的堆棧溢出一樣，用戶輸入的數據，影響到了軟件執行流程，最終導致漏洞的出現。

再次：如果有人問，XSS除了能彈出一個框外，還有啥用途？這個問題，我回答不了，我只能說：黑客的想象力有多大，XSS的危害就有多大。竊取cookie刪帖，嚴重的可以盜取賬戶，非法修改你的密碼。總之，越是復雜的應用場景，XSS越是能發揮它的潛力。

今天的分享就這些了，明天繼續。看在我碼了一千一百七十八個字的面子上，點個贊再走吧。