Session劫持(Session hijacking attack)
https://owasp.org/www-community/attacks/Session_hijacking_attack
Session劫持攻擊的方式來源於對Web Session機制,也就是對Session token的管理的利用。
由於HTTP交流使用許多TCP連接,Web Server需要一個方法去組織管理每個用戶的連接。最有用的方法就是在Server端認證連接成功後,發送token到客戶端。Session通常由可變寬度的字符串組成,它可以以不同的方式使用,例如在URL中、作爲cookie的http請求的頭中、在http請求的頭的其他部分中或在http請求的主體中。
Session劫持攻擊通過竊取或預測有效的Session以獲得對Web服務器的未經授權的訪問來危害Session。
CORS(Cross-Origin Resource Sharing, 跨域資源共享)
https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS
什麼是CORS?這個網站幫你瞭解HTTP跨站請求的機制。
Web前端
MDN-JavaScript
https://developer.mozilla.org/zh-CN/docs/Web/JavaScript
HTML5/CSS3特性檢測庫 Modernizr(包擴js兼容性檢測)
http://modernizr.cn/
雅虎14條性能優化原則
https://developer.yahoo.com/performance/rules.html
Web開發工程師人人必看的
高性能建站筆記
https://etianqq.gitbooks.io/highperformancewebsites/content/
一本偏向前端的,但實際上大家都應該懂的應用技巧書,裏面講述的都是最基本但不一定都知道的關於網站性能的要領
Server端
Apache
Apache的官網,裏面有很全面很權威的文檔,就不多提了。
Apache Module mod_rewrite
如何在vhost中寫好訪問規則?
PHP
PHP最佳實踐
https://phpbestpractices.justjavac.com/
一份簡短的關於 PHP 容易混淆知識點的實用指南
PHP代碼規範檢測工具PHP_CodeSniffer
PHPCS,一個關於php代碼規範的檢測工具,可以具體到每一行的每一個空格,也可以集成到編輯器中使用,實測sublime可以很好用,Ctrl+S保存的時候它就會檢測一次,並標出有問題的行。
編碼規範:https://github.com/squizlabs/PHP_CodeSniffer/wiki/Coding-Standard-Tutorial
sublime-phpcs插件:http://benmatselby.github.io/sublime-phpcs/
PHP單元測試PHPunit
php單元測試,對於代碼更新有很大的幫助,入手難,理解也很難,但其實原理很好懂,有了它,可以減少無限次的瀏覽器刷新和跑去看數據庫裏面的數據對不對,好的項目都有測試環境,區別於開發環境和線上環境,測試環境的配置不就是爲了PHPunit準備的嗎?
測試用例:https://github.com/sebastianbergmann/money
SpamAssassin
這是一種安裝在郵件伺服主機上的郵件過濾器,用來辨識垃圾信。它是使用大量的預設規則檢查垃圾信,這些規則會檢查寄到網域內所有郵件的標頭,內文,以及送信者。他採取的過濾方式是採用記分制,也就是說會根據我們所設定的標準來給予分數超過標準值的時候即判定爲 SPAM(垃圾郵件)