'Ablaze 的专栏

核心概念缓存web缓存位于用户和应用程序服务器之间，用于保存和提供某些响应的副本。在下图中，我们可以看到三个用户一个接一个地获取相同的资源：缓存技术旨在通过减少延迟来提升页面加载速度，还可以减少应用程序服务器上的负载，同时达到防止Dos攻击的目的。缓存键缓存的概念可能听起来简单明了，但它隐藏了一些风险的假设。每当缓存服务收到对资源的请求时，它需要确定：是否已保存此指定资源的副本是否可以使用该副本进行响应是否需转发给应用程序服务器确定两个请求是否正在尝试加载相同的资源可能是很棘手的问

定义XSS是跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。分类 大分类 小分类 原理 非存储 DOM型

token不是为了防止XSS的，而是为了防止CSRF的；CSRF攻击的原因是浏览器会自动带上cookie，而不会带上token；以CSRF攻击为例：cookie：用户点击了链接，cookie未失效，导致发起请求后后端以为是用户正常操作，于是进行扣款操作；token：用户点击链接，由于浏览器不会自动带上token，所以即使发了请求，后端的token验证不会通过，所以不会进行扣款操作；...