web安全相关问题

起因：

1、http 请求有get与post方式,get最大数据为2KB,而post没有限制。

2、get方式只能是ascii字符，中文要进行转义

加密：

1、传入的数据进行md5加密(王小云破解部分)

2、URL_encode对url进行加密,转码

      (1)escape() 空格，标点符号,非ascii码 转成%+十六进制的形式,(@ + /*)

      (2)encodeUri()采用utf-8转成escape格式的字符串(& ? = ! $ () :/ + @)

      (3)encodeURIComponent() 采用utf-8转成escape格式与(2)相比，将更多的字符进行             转码，如"/"所以不能对URL进行转,不会转的有(! * ())

3、base64 电子邮件或网页

     原理：把每3个8位的字符转成4个6位的字符(3*8 = 4*6),对6位再添高二位，组成8位,

               转换后比原来长1/3

工具：winhex查看数据包

类型：

1、XSS,跨站点攻击，被动示攻击 主动式称为XSS木马攻击(访问别的站点)

2、storeXSS 存储文件

3、Dom-basic XSS http://xx.yy.com?name=<script>alert(e);</script>

应用：

1、 获取用户的cookie document.cookie

2、 隐藏自身iframe