永远不要使⽤管理员权限的数据库连接，为每个应⽤使⽤单独的权限有限的数据库连接

不要把机密信息明⽂存放，请加密或者 hash 掉密码和敏感的信息

XSS原理及防范

Xss(cross-site scripting) 攻击指的是攻击者往 Web ⻚⾯⾥插⼊恶意 html 标签或

者 javascript 代码。⽐如：攻击者在论坛中放⼀个看似安全的链接，骗取⽤户点击后，

窃取 cookie 中的⽤户私密信息；或者攻击者在论坛中加⼀个恶意表单，当⽤户提交表单 的时候，却把信息传送到攻击者的服务器中，⽽不是⽤户原本以为的信任站点

XSS防范⽅法

⾸先代码⾥对⽤户输⼊的地⽅和变量都需要仔细检查⻓度和对 ”<”,”>”,”;”,”’” 等字符

做过滤；其次任何内容写到⻚⾯之前都必须加以encode，避免不⼩⼼把 html tag 弄出

来。这⼀个层⾯做好，⾄少可以堵住超过⼀半的XSS 攻击

XSS与CSRF有什么区别吗？

XSS 是获取信息，不需要提前知道其他⽤户⻚⾯的代码和数据包。 CSRF 是代替⽤户完成 指定的动作，需要知道其他⽤户⻚⾯的代码和数据包。要完成⼀次 CSRF 攻击，受害者必 须依次完成两个步骤

登录受信任⽹站 A ，并在本地⽣成 Cookie

在不登出 A 的情况下，访问危险⽹站 B

CSRF的防御

服务端的 CSRF ⽅式⽅法很多样，但总的思想都是⼀致的，就是在客户端⻚⾯增加伪随机 数

通过验证码的⽅法

三、为什么要有同源限制？

同源策略指的是：协议，域名，端⼝相同，同源策略是⼀种安全协议

举例说明：⽐如⼀个⿊客程序，他利⽤ Iframe 把真正的银⾏登录⻚⾯嵌到他的⻚⾯上， 当你使⽤真实的⽤户名，密码登录时，他的⻚⾯就可以通过 Javascript 读取到你的表单 中 input 中的内容，这样⽤户名，密码就轻松到⼿了。

四、关于Node

特点：

1、它是⼀个 Javascript 运⾏环境

2、依赖于 Chrome V8 引擎进⾏代码解释

3、事件驱动

4、⾮阻塞 I/O

5、单进程，单线程

优点：

⾼并发（最重要的优点）

缺点：

1、只⽀持单核 CPU ，不能充分利⽤ CPU

2、可靠性低，⼀旦代码某个环节崩溃，整个系统都崩溃

五、web开发中会话跟踪的⽅法有哪些

1.cookie

2.session

3.url重写

4.隐藏input（设置type为hidden）