互聯(lián)網(wǎng)發(fā)展的今天，IT行業(yè)慢慢變成大多數(shù)年輕人發(fā)展的目標，不僅前景好，薪資也是越來越高的，但是沒有好的方向，今天小猿圈web安全講師給你講解網(wǎng)絡安全，在學的過程中不浪費時間少走彎路。

web安全是網(wǎng)絡安全的一部分，網(wǎng)絡安全是個大范圍，可以引申為互聯(lián)網(wǎng)安全。包括軟硬件在內(nèi)，例如其中的數(shù)據(jù)安全就是指從數(shù)據(jù)的產(chǎn)生-傳輸-存儲等環(huán)節(jié)都要保證其安全性。那么web安全就是特指web層面的，我們一般認為是應用層次的，但實際的范圍內(nèi)包括中間件在內(nèi)的。比如，某個網(wǎng)站通過代碼審計找到sql注入漏洞就是web安全范疇。那么，某個域管理存在弱口令就屬于運維安全。

從事web安全需要有扎實的腳本語言基本功：asp.net、php、java、python等等。常見的web安全話題有sql注入、xss、任意代碼執(zhí)行等等。

Web安全是一個再強調(diào)也不過分的問題。我們發(fā)現(xiàn)，許多國內(nèi)網(wǎng)站沒有為其他安全策略實現(xiàn)https。本文的目的不是討論安全和攻擊的細節(jié)。但從戰(zhàn)略的角度來看，它引起了人們對安全的思考和關(guān)注。

一、數(shù)據(jù)通道安全

HTTP協(xié)議下的網(wǎng)絡連接是基于明文的，信息很可能被泄露和篡改。甚至用戶也不知道通信的另一方是否是他們希望連接的服務器。因此，信息通道的安全有以下兩個目標：

1.身份認證

2.數(shù)據(jù)不被泄漏和篡改

幸運的是https解決了上述問題的。

理論上講，https是安全的，但即便如此，https仍然應該受到重視，因為理論和實踐是相同的，但實踐是另一回事。最近爆發(fā)的千辛萬苦的漏洞就是一個很好的例子。

二、瀏覽器安全

https解決了點對點安全和身份驗證問題，然后只有兩個：瀏覽器和服務器，它們沒有https那樣的靈丹妙藥。

對于某些位置，不受信任的數(shù)據(jù)做轉(zhuǎn)義就可以保證安全：

1.一般的標簽屬性值

2.div body的內(nèi)部html

對于某些位置，即使做了轉(zhuǎn)義依然不安全：

1.css標簽中

2.注釋中

3.表簽的屬性名名

4.標簽名

三、HTML5對web安全的影響

HTML5帶來了許多新特性，使瀏覽器和java更加強大。然而，能力越強，被破壞的風險就越大。

HTML5對XSS的影響主要體現(xiàn)在：

1.更大的攻擊面，html5帶來來更多的標簽和更多的屬性，xss發(fā)生的可能性更大

2.有更大的危害，HTML 5有更多的資源可供XSS使用。黑客可以利用所有瀏覽器權(quán)限，如本地存儲、GEO、WebSocket、WebWorker。

遺憾的是，HTML沒有針對XSS和XSRF的系統(tǒng)解決方案。在此前提下，CSP變得非常重要，可以大大降低XSS后的危害。

以上就是小猿圈web安全講師對于web安全之于網(wǎng)絡安全的一個講解，記住一定要練習，多學多看多練這才是學習一門新技術(shù)好的開始，如果沒有系統(tǒng)的視頻可以觀看小猿圈里面有更完善更全的視頻。