笔者在学习Web安全的过程中，深切地感受到相关的知识浩如烟海，而且很大一部分知识点都相对零散，如果没有相对清晰的脉络作为参考，会给学习带来一些不必要的负担。因此，在对Web安全有了浅薄的了解之后，尝试把一些知识、想法整理记录下来，最后形成了这份笔记，希望能够为正在入门的网络安全爱好者提供一定的帮助。
在开始在前，需要明确的一个问题是，Web安全是什么。比较直白的一个定义是，Web安全是包括网站、网络应用、网络服务在内的一系列安全内容，或者说，Web安全关注的是应用层的安全，尤其是细化到与网络相关内容的安全。也就是说，Web安全需要学习的内容主要包括网络协议本身、网络应用的特性与对应的安全问题、各种工具的使用。实际上这几块内容是相当零散且庞杂的，那么应该如何学习呢，笔者尝试从这本笔记组织形式来回答这个问题。
以史为鉴，可以知兴替，最先需要了解的应该是领域的发展史。要更好的理解为什么现在的Web安全领域是这样的，各个研究又是朝什么方向而发展，就需要对Web应用技术与网络攻防技术的发展与演进历史有所了解。这也是笔记的第一部分，围绕Web技术的发展与演化、安全领域的基本常识进行了记录和说明。
在对Web安全发展史有大概了解之后可以开始对计算机网络的基础知识进行学习，这是本文的第二部分，对计算机网络的部分基础知识做了介绍。考虑到网络数据库、Web服务器等技术分支较多、演进较快，本文仅仅对网络协议进行了介绍而略过了网络应用的部分，实际上应该对各种编程语言、Web应用框架、网络服务、操作系统特性有所了解。
有一定基础之后可以关注一些更细化的攻防内容，比如某个漏洞类型的研究、某种语言、应用的特性与其对应的安全问题，这是本文的第三部分。这部分按照常见的渗透测试的顺序，对信息收集、常见的Web漏洞、常见语言与框架、内网渗透的技巧等进行了简单的讲述，开始学习渗透测试之后通常会接触到这部分内容。
第四部分回到防御的视角，从安全团队的建设、威胁情报与风控等视角进行了描述，也对蜜罐、溯源等较为细节的技术内容作了一定说明。
最后是更具体的应用，以工具的介绍与使用为主，文中的这一部分推荐了一些工具与资源列表，也归档了一部分暂时没有分类的内容。

2021年09月14日

2021年09月14日 使用一些白名单或者黑名单来过滤用户输入的HTML，以实现过滤的效果。例如DOMPurify等工具都是用该方式实现了XSS的保护。

2021年09月14日

2021年09月14日

2021年09月14日 Content Security Policy，简称 CSP，译作内容安全策略。顾名思义，这个规范与内容安全有关，主要是用来定义哪些资源可以被当前页面加载，减少 XSS 的发生。

2021年09月14日 同源策略限制了不同源之间如何进行资源交互，是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定，URL由协议、域名、端口和路径组成，如果两个URL的协议、域名和端口相同，则表示他们同源。

2021年09月14日 存在XSS漏洞时，可能会导致以下几种情况：

2021年09月14日 XSS全称为Cross Site Scripting，为了和CSS分开简写为XSS，中文名为跨站脚本。该漏洞发生在用户端，是指在渲染过程中发生了不在预期过程中的JavaScript代码执行。XSS通常被用于获取Cookie、以受攻击者的身份进行操作等行为。