《Web之困：现代Web应用安全指南》章节试读

《Web之困：现代Web应用安全指南》的笔记-第70页 - 4.2 理解HTML解析器的行为

<img height="200px" src=pic.jpg?value=">Yes, we are still inside a tag!"> 以上代码在各个版本的IE下的执行结果如下所示： 结论：
IE 6,7,8有一个特性是当遇到=后面紧跟一个引号的时候会有 如上解析。

《Web之困：现代Web应用安全指南》的笔记-第69页 - 4.2 理解HTML解析器的行为

位置①（由NUL字符代替）执行结果：IE：6、7、8、9、10正常解析
另外，IE11、chrome和Firefox解析失败
----------------------------------------------------------------------------------------
位置②、④（使用Tab键代替空格键）执行结果：
IE：6、7、8、9、10正常解析
另外，IE11、chrome和Firefox解析失败
----------------------------------------------------------------------------------------
位置②、④（使用进纸换页符代替空格）IE：6、7、8、9、10、11以及Chrome和Firefox都可以正常解析
----------------------------------------------------------------------------------------
位置⑤（使用`代替"）IE：6、7、8、9、10正常解析
另外，IE11、chrome和Firefox解析失败

《Web之困：现代Web应用安全指南》的笔记-第63页 - 3.9.2出错处理的规则

在访问某些HTTPS网站的时候，由于证书的原因(不点名批评12306)，浏览器会返回一个错误提示，是关闭还是继续。对于明白证书验证失败原因的人会直接忽略，对于不明白的人大多也会直接忽略，那么这样温和的报错提示到底有什么作用呢。这个就和那些免责条款一样，将过错最终都归咎于用户罢了。但说到底，有可能我们问的问题本身就是错的，提供给他们的选择也是错的。简单来说，如果我们确信在某些场景下，用户接受这些警告是有道理的，那么应该直接以“沙箱”(Sandbox)模式打开页面，这种模式下攻击会受到严格限制，并在界面上做出明确的标识，可能是更为合理的解决之道。

《Web之困：现代Web应用安全指南》的笔记-第68页 - 4.1.2语意之争

Tim Berners-Lee一直倡导语义网(sematic web)的概念，在这个互联的系统里，文档的每个功能块，如引用、代码片段、邮件地址或标题，都有解释它们响应(相应)含义的标签，这些标签可供机器读取(譬如，<cite>、<code>、<address>或<h1>~<h6>)。
Tim Berners-Lee和他的支持者认为，这种方式能让机器以一种有意义的方式抓取、分析和索引网页的内容，这样在不久的将来，计算机就能运用人类知识的总和，进行推理运算了。
来看看HTTP的基本请求类型，到底有多少开发者真正遵从其语义？若不是RESTFul，估计不同方法的区别就会越来月模糊，然后最后真正变为一个传输层的协议存在。

《Web之困：现代Web应用安全指南》的笔记-第49页

注释:有这么件传闻逸事(但很可能是真事)，说的是一位名叫John Breckman的网站管理员的悲剧。故事里说，John的网站无意中被搜索引擎的爬虫全删了。仅仅是因为这个爬虫无意中访问到一个不需要授权的页面，里面是John自己做的一个基于GET方法的管理页面...爬虫就高高兴兴地把页面所有的“删除”链接都爬了一遍，然后？然后就没有然后了。