安全：Web 安全学习笔记

来源：幸福框架http://www.cnblogs.com/happyframework背景说来惭愧，6 年的 web 编程生涯，一直没有真正系统的学习 web 安全知识（认证和授权除外），这个月看了一本《Web 安全设计之道》，书中的内容多是从微软官方文档翻译而来，这本书的含金量不高，不过也不能说没有收获，本文简单记录一下我学习 Web 安全方面的笔记。本文不涉及 IIS、Windows 和 SqlServer 的安全管理与配置，尽量只谈编程相关的安全问题。最简单的 Web 物理架构浏览器和服务器的通信采用无状态的 HTTP 协议。通过控制 HTTP 的请求头，可以控制：客户端缓存、Cookie、请求编码、相应编码等。请求内容向服务器提交数据（POST 和 GET），响应内容向浏览器发送数据。Cookie 包含在每个请求和响应中，因此客户端和 ………………………………