满脸猪头肉

【首先是啰嗦】XSS对Session的利用主要有两种：Session劫持和CSRF，先谈前者。关于通过XSS劫持Session的原理和实验可以参考一下几篇文章：http://www.2cto.com/Article/201411/355266.html  http://www.cnblogs.com/dolphinX/p/3403027.html原理很简单，攻击实验也很好实

在web应用交互过程中，有很多场景需要保证通信数据的安全；在前面也有好多篇文章介绍了在Web Service调用过程中用WS-Security来保证接口交互过程的安全性，值得注意的是，该种方式基于的传输协议仍然是Http，采用这种方式可扩 展性和数据交互效率比较高；另外一种实现方式就是用Https，他是在协议层对Http的再次封装，加入了SSL/TLS，采用该协议进行通信的数据全部 都会被加密，由