太阳当空照，花儿对我笑，微风轻轻拂，心情无限好。

跨站脚本攻击XSS，是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

MSL是TCP允许不同的实现可以设置不同的MSL值。第一，保证客户端发送的最后一个ACK报文能够到达服务器，因为这个ACK报文可能丢失，站在服务器的角度看来，我已经发送了FIN+ACK报文请求断开了，客户端还没有给我回应，应该是我发送的请求断开报文它没有收到，于是服务器又会重新发送一次，而客户端就能在这个2MSL时间段内收到这个重传的报文，接着给出回应报文，并且会重启2MSL计时器。第二，防止类似已经失效的连接请求报文段出现在本连接中。客户端发送完最后一个确认报文后，在这个2MSL。

SSRF服务端请求伪造漏洞，也称为XSPA跨站端口攻击，是一种由攻击者构造一定的利用代码导致服务端发起漏洞利用请求的安全漏洞，一般情况下SSRF攻击的应用是无法通过外网访问的，所以需要借助目标服务端进行发起，目标服务器可以链接内网和外网，攻击者便可以通过目标主机攻击内网应用。

SSO单点登录是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句添加额外的SQL语句，从而实现非法操作，获取数据库数据，服务器提权等，很多机构将SQL注入作为第一危险的安全漏洞。

在RESTful架构中，关注点在于资源，操作资源时使用标准方法检索并操作信息片段，在RPC架构中，关注点在于方法，调用方法时将像调用本地方法一样调用服务器的方法。

OSI七层模型包括物理层、数据链路层、网络层、运输层、会话层、表示层、应用层，其中会话层、表示层、应用层一般统称为应用层，在TCP/IP四层模型中物理层与数据链路层归为网络接口层，网络层与运输层是单独的层级，会话层、表示层、应用层归为应用层。

第三方应用程序，例如上文中的云冲印网站。: 服务提供商，例如上文中的Google。User Agent: 用户代理，一般都是使用浏览器。: 认证服务器，服务提供商用来处理认证的服务器。: 资源服务器，即服务提供商存放用户资源的服务器。

Node是一个接口，各种类型的DOM API对象会从这个接口继承，其允许我们使用相似的方式对待这些不同类型的对象。

Navigator对象表示用户代理的状态和标识，其允许脚本查询它和注册自己进行一些活动，可以使用只读的属性取得实例化的navigator对象的引用。

对象提供了监视对DOM树所做更改的能力，其被设计为旧的功能的替代品(该功能是规范的一部分)。

由于同源策略的限制，XmlHttpRequest只允许请求当前源（域名、协议、端口）的资源，为了实现跨域请求，可以通过script标签实现跨域请求，然后在服务端输出JSON数据并执行回调函数，从而解决了跨域的数据请求。其本质是利用了< script src=”” >标签具有可跨域的特性，由服务端返回一个预先定义好的Javascript函数的调用，并且将服务器数据以该函数参数的形式传递过来，此方法需要前后端配合完成。它只能以GET方式请求。

闭包是函数和声明该函数的词法环境的组合。

同源策略/SOP（Same origin policy）是一种约定，由Netscape公司1995年引入浏览器，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，浏览器很容易受到XSS、CSFR等攻击。所谓同源是指"协议+域名+端口"三者相同，即便两个不同的域名指向同一个ip地址，也非同源。同源策略限制以下几种行为：1.) Cookie、LocalStorage 和 IndexDB 无法读取2.) DOM 和 Js对象无法获得3.) AJAX 请求不能发送。

如果两个页面的协议，端口（如果有指定）和主机都相同，则两个页面具有相同的源。我们也可以把它称为“协议/主机/端口 tuple”，或简单地叫做“tuple". (“tuple” ，“元”，是指一些事物组合在一起形成一个整体，比如（1，2）叫二元，（1，2，3）叫三元)下表给出了相对URL结果原因成功只有路径不同成功只有路径不同失败不同协议 ( https和http )失败不同端口 ( http:// 80是默认的)失败不同域名 ( news和store )

文档对象模型 (DOM) 是HTML和XML文档的编程接口。它提供了对文档的结构化的表述，并定义了一种方式可以使从程序中对该结构进行访问，从而改变文档的结构，样式和内容。文档对象模型 (DOM) 是对HTML文件的另一种展示，通俗地说，一个HTML 文件，我们可以用编辑器以代码的形式展示它，也可以用浏览器以页面的形式展示它，同一份文件通过不同的展示方式，就有了不一样的表现形式。而DOM 将文档解析为一个由节点和对象（包含属性和方法的对象）组成的结构集合。简言之，它会将web页面和脚本或程序语言连接起来，我

编程语言都具有内建的数据结构，但各种编程语言的数据结构常有不同之处。本文试图列出 JavaScript 语言中内建的数据结构及其属性，它们可以用来构建其他的数据结构；同时尽可能的描述与其他语言的不同之处。

减少 JavaScript 对性能的影响有以下几种方法：将所有的标签放到页面底部，也就是闭合标签之前，这能确保在脚本执行前页面已经完成了渲染。尽可能地合并脚本。页面中的标签越少，加载也就越快，响应也越迅速。无论是外链脚本还是内嵌脚本都是如此。使用标签的 defer 属性（仅适用于 IE 和 Firefox 3.5 以上版本）；使用动态创建的元素来下载并执行代码；

例如对sub1设置absolute，如果sub1的父级元素（parent或者其父级元素）设置了absolute或relative，那么sub1就会相对这个父元素定位。这时由于sub1的位置“腾出来了”，sub2就会跑到sub1的位置（也可以理解sub1浮起来了，dreamweaver中叫做层），它的文档流就会基于parent。例如对sub1设置relative属性后，会根据top，right，bottom，left属性偏移，而sub2的位置不变（sub1会占住原来的位置）

Flexible Box 模型，通常被称为 flexbox，是一种一维的布局模型。它给 flexbox 的子元素之间提供了强大的空间分布和对齐能力。本文给出了 flexbox 的主要特性，更多的细节将在别的文档中探索。我们说 flexbox 是一种一维的布局，是因为一个 flexbox 一次只能处理一个维度上的元素布局，一行或者一列。作为对比的是另外一个二维布局 CSS Grid Layout，可以同时处理行和列上的布局。

父元素高度确定的单行文本的竖直居中的方法是通过设置父元素的 height 和 line-height 高度一致来实现的。如下代码

如果被设置元素为文本、图片等行内元素时，水平居中是通过给父元素设置 text-align:center 来实现的。如下代码：

网页设计中常听的属性名：内容(content)、填充(padding)、边框(border)、边界(margin)， CSS盒子模式都具备这些属性。这些属性我们可以把它转移到我们日常生活中的盒子（箱子）上来理解，日常生活中所见的盒子也就是能装东西的一种箱子，也具有这些属性，所以叫它盒子模式。CSS盒子模型就是在网页设计中经常用到的CSS技术所使用的一种思维模型。