摘要：原文地址：http://baike.baidu.com/view/1609487.htm?fr=aladdin。攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例如：一个网站用户Bob可能正在浏览聊天论坛，而同时另一个用户Alice也在此论坛中，并且后者刚刚发布了一个具有Bob银行链接的图... 阅读全文

摘要：译者序如何保证信息的如下特性：保密性、完整性、可用性、抗否认性。学习的一般思路：先了解概念、其次是原理、再次是技术。信息安全问题绝非单纯的技术问题，仅从技术角度是无法解决西悉尼安全问题的。将自己思考的内容写下来是发现自己欠缺哪些知识的绝佳途径。安全工程的含义如何应对：错误、灾难和恶意攻击。软件工程旨在确保某些事情能够发生，而安全工程则确保某些事情不能发生。典型的系统安全包括：用户身份验证、访问控制、事务完整性与问责制、数据完整性、容错、消息保密以及隐蔽性等安全机制。备注暂时先不读了，离工作太远。 阅读全文

摘要：背景说来惭愧，6 年的 web 编程生涯，一直没有真正系统的学习 web 安全知识（认证和授权除外），这个月看了一本《Web 安全设计之道》，书中的内容多是从微软官方文档翻译而来，这本书的含金量不高，不过也不能说没有收获，本文简单记录一下我学习 Web 安全方面的笔记。本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置，尽量只谈编程相关的安全问题。最简单的 Web 物理架构您必须了解 HTTP 协议，可以阅读这篇文章：HTTP 协议详解，简单总结如下：浏览器和服务器的通信采用无状态的 HTTP 协议。通过控制 HTTP 的请求头，可以控制：客户端缓存、Cookie、请 阅读全文