HTTP Strict Transport Security（通常简称为HSTS）是一个安全功能，它告诉浏览器只能通过HTTPS访问当前资源，而不是HTTP。启用 HSTS 不仅仅可以有效防范中间人攻击，同时也为浏览器节省来一次 302/301 的跳转请求，如果配置了HSTS，网站则通过HTTP Strict Transport Security通知浏览器，这个网站禁止使用HTTP方式加载，浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。

HTTP严格传输安全（英语：HTTP Strict Transport Security，缩写：HSTS）是一套由互联网工程任务组发布的互联网安全策略机制。网站可以选择使用HSTS策略，来让浏览器强制使用HTTPS与网站进行通信，以减少会话劫持风险。

作用

HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器建立连接。服务器开启HSTS的方法是，当客户端通过HTTPS发出请求时，在服务器返回的超文本传输协议（HTTP）响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

比如，https://example.com/ 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点：

1. 在接下来的31536000秒（即一年）中，浏览器向example.com或其子 域名发送HTTP请求时，必须采用HTTPS来发起连接。比如，用户点击 超链接或在地址栏输入 http://www.example.com/ ，浏览器应当自动将 http 转写成 https，然后直接向 https://www.example.com/ 发送请求。
2. 在接下来的一年中，如果 example.com 服务器发送的TLS 证书无效，用户不能忽略浏览器警告继续访问网站。

HSTS可以用来抵御SSL剥离攻击。SSL剥离攻击是中间人攻击的一种，由Moxie Marlinspike于2009年发明。他在当年的黑帽大会上发表的题为“New Tricks For Defeating SSL In Practice”的演讲中将这种攻击方式公开。SSL剥离的实施方法是阻止浏览器与服务器建立HTTPS连接。它的前提是用户很少直接在地址栏输入https://，用户总是通过点击链接或3xx重定向，从HTTP页面进入HTTPS页面。所以攻击者可以在用户访问HTTP页面时替换所有https://开头的链接为http://，达到阻止HTTPS的目的。

HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器建立过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP

IIS开启HSTS

此方法未在IIS7/8.5版本测试，如果设置后网站出现500状态码则撤销更改；在配置HSTS前需要将http请求重定向到https请求上。

方法一：添加自定义HTTP响应头

在网站根目录下的web.config文件里添加以下代码：

	 <configuration>
    <system.webServer>
        <httpProtocol>
            <customHeaders>
                <add name=&quot;Strict-Transport-Security&quot; value=&quot;max-age=31536000&quot; />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration> 

方法二：利用URL重写工具

安装URL重写模块，并为具有HTTP和HTTPS绑定的单个网站配置重写规则。HTTP到HTTPS重定向可以由入站规则指定，而将STS标头添加到HTTPS回复可以通过出站规则来实现。

	<?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name=&quot;Redirect HTTP to HTTPS&quot; stopProcessing=&quot;true&quot;>
                    <match url=&quot;(.*)&quot; />
                    <conditions>
                        <add input=&quot;{HTTPS}&quot; pattern=&quot;off&quot; />
                    </conditions>
                    <action type=&quot;Redirect&quot; url=&quot;https://{HTTP_HOST}/{R:1}&quot; redirectType=&quot;Permanent&quot; />
                </rule>
            </rules>
            <outboundRules>
                <rule name=&quot;Add the STS header in HTTPS responses&quot;>
                    <match serverVariable=&quot;RESPONSE_Strict_Transport_Security&quot; pattern=&quot;.*&quot; />
                    <conditions>
                        <add input=&quot;{HTTPS}&quot; pattern=&quot;on&quot; />
                    </conditions>
                    <action type=&quot;Rewrite&quot; value=&quot;max-age=31536000&quot; />
                </rule>
            </outboundRules>
        </rewrite>
    </system.webServer>
</configuration>

如果配置以上代码后网站未出现500等错误，既可以打开浏览器测试HSTS是否配置成功。

测试HSTS是否成功

使用Google Chrome 浏览器打开站点，按下F12打开控制台，转到Network，点击列表中的页面，查看Response Headers中的消息头列表：

如果有类似Strict-Transport-Security: max-age=31536000; includeSubDomains; preload的代码，则证明HSTS配置成功。

网站日志是记录web服务器接收处理请求以及运行时错误等各种原始信息的以.log结尾的文件，确切的讲，应该是服务器日志。网站日志最大的意义是记录网站运营中比如空间的运营情况，被访问请求的记录。通过网站日志可以清楚的得知用户在什么IP、什么时间、用什么操作系统、什么浏览器、什么情况下访问了你网站的哪个页面，是否访问成功等等。

网站日志存放在哪里？

大部分主机包括虚拟主机都会提供一个网站日志功能。网站日志不同于流量统计，流量统计只是统计网站的IP、PV、UV等信息，而网站日志则是整个网站的运行情况，包括用户的IP，访问详情，页面来源，还有用户的UA等等。站长们可以根据用户UA来判断是否有假的蜘蛛来采集网站内容。

虚拟主机日志存放路径：

1. 阿里云虚拟主机：需要登陆虚拟主机"控制台"=>"文件管理"=>"网站日志下载"，选择某一天的日志点击下载，之后会在网站里创建一个文件夹名为wwwlogs的文件夹，从FTP里下载即可。
2. 西部数据虚拟主机：需要登录虚拟主机管理页面，找到"网站情报系统"下的"WWW日志"，点击下载WebLog日志，之后会在网站里创建一个名为logfiles的文件夹，同样从FTP里下载即可。(西部数据的日志有日期限制，只能下载近几天的日志。)
3. 百度云虚拟主机：需要登录虚拟主机管理页面，点击"日志管理"=>"主机日志"，开启FTP日志，保存目录为根目录/ftplogs。
4. 其他虚拟主机请咨询客服。

云服务器的日志存放路径

1. Windows Server系列操作系统：一般情况下在C盘下的intepub/logs/LogFiles文件夹下，比如W3SVC6000，其中"6000"为站点的ID。
2. Linux系列系统因使用的管理软件不同其日志文件存放路径也不同，以宝塔面板为例，登录宝塔管理面板，找到左侧的"文件"，打开路径"根目录=>www=>wwwlogs"文件夹，使用宝塔面板创建的网站日志文件通常会在一个文件里保存，网站日志文件名通常以创建网站时的名称+"access_log"命名，错误信息通常以网站名称+"error_log"结尾。

如何查看IIS站点的ID：

打开IIS，找到要查看ID的站点，在右侧点击高级设置，在常规栏目下找到ID即可。

分析日志文件

从服务器上下载日志文件后，可以利用第三方日志分析网站来分析日志详情，也可以使用Excel等工具分析网站日志。

利用第三方日志分析网站分析

将网站日志上传到第三方日志分析网站上，比如 LogHao日志分析工具，上传之后输入网站URL，点击分析即可在右侧看到日志分析详情。

利用Excel工具查看

在导入到Excel之前，需要打开日志文件把列表头的一些无用字段删除掉，比如"#Software: Microsoft Internet Information Services 10.0"、"#Version: 1.0"等等字段。打开Excel，在菜单里找到"数据=>获取外部数据=>自文本"，打开导入文件对话框，将右下角的文件类型选择"所有文件(*.*)"，选中日志文件。

接着会出现文本导入向导对话框，在原始数据类型中选择"分隔符号"，点击"下一步"，"分割符号"选择"空格"，点击下一步、完成，将数据放置到=$A$1位置下即可。

导入成功后会在表格中显示整个日志信息，其中一些列表头的意义为：

站长们需要重点关注的几点是：访问的URL地址、浏览器UA(非常重要，此字段可以分辨真假蜘蛛)、服务器状态码(重要，如果有404或非200等正常状态码就需要检查网站链接)、访问延迟（最好关注下，如果延迟很高说明服务器带宽低或者有人在盗取你网站上的资源）。

重要关注点说明

访问的URL地址(cs-uri-stem)

cs-uri-stem为用户访问、搜索引擎抓取的地址，如果搜索引擎抓取了不是自己网站上的链接，请及时向站站长平台反馈信息；如果出现经常有用户访问css、img和js等文件，却没有访问网页的情况时，需要站长们注意自己网站的资源是否已经被别人盗用，被别人盗用会增加自己网站的请求量，增加用户打开网站加载时间，甚至还会增加你的流量费用(有流量限制的虚拟主机)。如果被盗用资源可以联系主机服务商是否可以开启防盗链功能。

用户UAcs(User-Agent)

用户UA代表用户是以哪种浏览器访问，或搜索引擎的标识，比如"Sogou+web+spider"、"compatible;+Baiduspider/2.0"等等，如果你没有提交站点给某一个搜索引擎，用户UA却出现了这个搜素引擎的标识，比如国外的“MJ12bot”等等(需要注意的是，搜索引擎抓取频率过多也会导致网站服务器压力过大)，请及时将其他没有提交的搜索引擎标识写进robots.txt文件里并设置禁止抓取(Disallow: /)；如果发现有其他网站采集本站的数据，需要站长们做好防采集功能。

常见的搜索引擎UA有：

请求状态码(sc-status)

请求状态码反映了网站的链接或者资源是否可以打开，常见的状态码有：200(ok)表示访问正常；301(永久重定向)；302(暂时重定向)；403(禁止访问)；404(页面或资源不存在)；500系列(通常为网站内部错误，比如代码语法错误等原因导致页面无法呈现)。

如果网站上出现了大量的400、500等状态码，需要站长们重点注意：网站是否有死链；是否有拼写错误的链接；网站的环境配置是否正确，比如php、.Net环境等，以及php代码或asp(x)代码是否书写正确。

访问延迟(time-taken)

访问延迟(或者说响应时间)一般在30~200毫秒之间为最佳，超过了1000毫秒则说明网站配置较低或带宽低，客户访问的地理位置和服务器的地理位置比较远，也不排除有其他网站盗用资源或者采集数据。建议选购主机时选择离客户地理位置近的区域或是升级服务器配置、增加网站带宽。

参考链接：
简书：如何分析网站日志文件

CSS变量是由CSS作者定义的实体，其中包含要在整个文档中重复使用的特定值。使用自定义属性来设置变量名，并使用特定的 var() 来访问。（比如 color: var(--main-color);）。其中变量类型分为两种，局部变量和全局变量，局部变量用于一个选择其中，而全局变量用于整个文档。

CSS变量简介

在一些命令式编程语言中，像Java、C++亦或是JavaScript，通过变量我们能够跟踪某些状态。变量是一种符号，关联着一个特定的值，变量的值能随着时间的推移而改变。在像CSS这种声明式语言中，随着时间而改变的值并不存在，也就没有所谓变量的概念了。 CSS引入了一种层级变量的概念，从而能够从容应对可维护性的挑战。这就会使得在整个CSS中都可以象征性的引用一个变量。

CSS变量形式

CSS 变量当前有两种形式：

变量：

变量，就是拥有合法标识符和合法的值。可以被使用在任意的地方。可以使用var()函数使用变量。例如：var(--example-variable)会返回--example-variable所对应的值。

自定义变量：

使用--*where*的特殊格式作为名字。例如--example-variable: 20px;即使一个css声明语句，意思是将20px赋值给--example-varibale变量。

什么时候需要用CSS变量

在构建大型站点时，设计师通常会面对可维护性的挑战。在这些网页中，所使用的CSS的数量是非常庞大的，并且在许多情况下大量的值会重复使用。例如，在网页中维护一个配色方案，意味着一些颜色在CSS文件中多次出现，并被重复使用。当你修改配色方案时，不论是调整某个颜色或完全修改整个配色，都会成为一个复杂的问题，而单纯查找替换是远远不够的。

如果使用了其他CSS 框架，这种情况会变得更为糟糕。如果要修改颜色，则需要对框架本身进行修改。在这些场合使用 LESS 或 Sass 类似的预处理器是非常有帮助的，但是这种通过添加额外步骤的方式，可能会增加整个网站的复杂性。CSS变量为我们带来一些预处理器的便利，并且不需要额外的编译。

使用CSS变量的优势就是变量名称本身可以包含语义信息，使CSS文件变得易读和理解。比如main-text-color比文档中的#00ff00更容易理解，特别是同样的颜色出现在不同的文件中的时候。

使用示例

声明一个局部变量:

	element {
  --main-bg-color: brown;
} 

声明一个全局变量:

	:root {
  --global-color: #666;
  --pane-padding: 5px 42px;
} 

使用方法很简单，在需要使用的地方调用即可，比如：

局部变量

	element {
  background-color: var(--main-bg-color);
} 

全局变量

	.demo{
   color: var(--global-color);
} 

Var()函数

Var()函数用来读取已经定义好的变量，假如变量foo和bar已经定义好。

	a {
  color: var(--foo);
  text-decoration-color: var(--bar);
} 

Var()函数还可以使用第二个参数，表示变量的默认值。如果该变量不存在，就会使用这个默认值。

	color: var(--foo, #7F583F); 

全局变量可以在任何地方调用。CSS变量的前缀是--，Sass的前缀是$，而Less的前缀是@。

参考链接：
使用CSS变量
CSS 变量教程

表单在网页中经常会被用到，尤其是在注册、登录和搜索模块中。如果不验证用户输入的字符串，很可能会造成SQL注入，甚至会对整个数据库造成不可挽回的风险。要进行表单验证，可以借助javascript和input的pattern属性来限制用户的输入。

什么是SQL注入

SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。它可以通过在Web表单中输入（恶意）SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

更详细的SQL注入介绍，请查看简书 sql注入基础原理（超详细）

如何防止SQL注入

常见的防止SQL注入方法有以下几种：

1. 永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
2. 永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
3. 永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
4. 不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
5. 应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装。
6. sql注入的检测方法一般采取辅助软件或网站平台来检测，软件一般采用sql注入检测工具jsky，网站平台就有亿思网站安全平台检测工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS攻击等。

使用JS(javascript)进行表单验证已经烂大街，这篇文章不再赘述。

使用input标签的pattern属性进行表单验证

pattern属性用于验证输入字段的模式，需要输出正则表达式来限制。

要使用pattern属性，必须了解正则表达式才能正确的使用。

正则表达式是对字符串操作的一种逻辑公式，就是用事先定义好的一些特定字符、及这些特定字符的组合，组成一个“规则字符串”，这个“规则字符串”用来表达对字符串的一种过滤逻辑。

限制用户只能输入数字：

	<input type="text" value="" name="title" placeholder="请输入要搜索的内容" required="" pattern="[^\d]/g"> 

限制用户只能输入英文字母：

	<input type="text" value="" name="title" placeholder="请输入要搜索的内容" required="" pattern="[/W]/g"> 

限制用户只能输入数字和英文字母：

	<input type="text" value="" name="title" placeholder="请输入要搜索的内容" required="" pattern="[\w]/g"> 

把pattern属性设置为：/[\W]/g时，用户只能输入数字和英文，如果输入的字符串不匹配，则会提示"请与所请求的格式保持一致"(Chrome)。

限制用户只能输入5-20个以字母开头、可带数字、“_”、“.”的字串

	<input type="text" value="" name="title" placeholder="请输入用户名 " required="" pattern="^[a-zA-Z]{1}([a-zA-Z0-9]|[._]){4,19}$"> 

设置了以上规则后即可简单的来限制用户输入。你可以学习更多的正则表达式语法,来为表单设置其他规则。但要做到更高级别的限制，需要在服务端设置字符串过滤和转换。

MySQL 是最流行的关系型数据库管理系统，在 WEB 应用方面 MySQL 是最好的 RDBMS(Relational Database Management System：关系数据库管理系统)应用软件之一。要查询数据库中的数据，需要用到SELECT语句和其他子句，比如WHERE子句和BETWEEN子句等等。

在进行MySQL查询数据演示之前，我们需要新建立一个空数据表，并执行以下SQL语句：

	CREATE TABLE fruits
(
f_id    char(10)         NOT NULL,
s_id    INT            NOT NULL,
f_name  char(255)      NOT NULL,
f_price decimal(8,2)      NOT NULL,
PRIMARY KEY(f_id) 
); 

为了演示如何使用SQL语句的SELECT命令，需要在fruits数据表中执行以下SQL语句：

	INSERT INTO fruits (f_id, s_id, f_name, f_price)
     VALUES('a1', 101,'apple',5.2),
     ('b1',101,'blackberry', 10.2),
     ('bs1',102,'orange', 11.2),
     ('bs2',105,'melon',8.2),
     ('t1',102,'banana', 10.3),
     ('t2',102,'grape', 5.3),
     ('o2',103,'coconut', 9.2),
     ('c0',101,'cherry', 3.2),
     ('a2',103, 'apricot',2.2),
     ('l2',104,'lemon', 6.4),
     ('b2',104,'berry', 7.6),
     ('m1',106,'mango', 15.6),
     ('m2',105,'xbabay', 2.6),
     ('t4',107,'xbababa', 3.6),
     ('m3',105,'xxtt', 11.6),
     ('b5',107,'xxxx', 3.6);  

执行完两段SQL语句后数据库表和记录就会被创建和插入。

基本查询

SELECT语句

SELECT命令可以读取一条或者多条记录。

查询表中所有字段：

	SELECT * FROM fruits; 

查询结果：

列查询

查询fruits表中f_name列所有水果名称，SQL语句如下：

	SELECT f_name FROM fruits; 

该语句使用SELECT声明从fruits表中获取名称为f_name字段下的所有水果名称，指定字段的名称紧跟在SELECT关键字之后，查询结果如下：

如果要查询两列或更多列，需要在第一列后加上逗号分隔，比如：

	SELECT f_name, f_price FROM fruits; 

条件查询

Where子句

Where子句用于向SELECT语句设置特定的查询条件，可以使用AND和OR指定一个或多个条件，也可用于DELETE和UPDATE命令。

查询价格为10.2元的水果的名称，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price = 10.2;  

查询结果如下：

查找名称为“apple”的水果的价格，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_name = 'apple'; 

查询价格小于10的水果的名称，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price < 10; 

查询所有为s_id101和102的记录，SQL语句如下：

	SELECT s_id,f_name, f_price FROM fruits WHERE s_id IN (101,102) ORDER BY f_name; 

查询所有s_id不等于101也不等于102的记录，SQL语句如下：

	SELECT s_id,f_name, f_price FROM fruits WHERE s_id NOT IN (101,102) ORDER BY f_name; 

BETWEEN子句

BETWEEN 运算符用于 WHERE 表达式中，选取介于两个值之间的数据范围。BETWEEN 同 AND 一起搭配使用，语法如下：

	WHERE column BETWEEN value1 AND value2 

通常 value1 应该小于 value2。当 BETWEEN 前面加上 NOT 运算符时，表示与 BETWEEN 相反的意思，即选取这个范围之外的值。

查询价格在2.00元到10.20元之间的水果名称和价格，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price BETWEEN 2.00 AND 10.20; 

查询价格在2.00元到10.20元之外的水果名称和价格，SQL语句如下：

	SELECT f_name, f_price FROM fruits WHERE f_price NOT BETWEEN 2.00 AND 10.20; 

LIKE子句

LIKE子句用于模糊查询某字段中包含某个字符的记录，可以用"%"来表示任意字符，如果没有写"%"则于"="效果一样。

查询所有以’b’字母开头的水果，SQL语句如下：

	SELECT f_id, f_name FROM fruits WHERE f_name LIKE 'b%'; 

查询f_name中包含字母’g’的记录，SQL语句如下：

	SELECT f_id, f_name FROM fruits WHERE f_name LIKE '%g%'; 

查询以’b’开头，并以’y’结尾的水果的名称，SQL语句如下：

	SELECT f_name FROM fruits WHERE f_name LIKE 'b%y'; 

查询以字母’y’结尾，且’y’前面只有4个字母的记录，SQL语句如下：

	SELECT f_id, f_name FROM fruits WHERE f_name LIKE '----y';  

HTTP 定义了与服务器交互的不同方法。在客户机和服务器之间进行请求、响应时，两种最常被用到的方法是：GET 和 POST。GET经常被用于请求某个资源，POST经常被用于提交或修改资源。

HTTP

HTTP协议是Hyper Text Transfer Protocol（超文本传输协议）的缩写,是用于从万维网（WWW:World Wide Web ）服务器传输超文本到本地浏览器的传送协议。 HTTP是一个基于TCP/IP通信协议来传递数据（HTML 文件, 图片文件, 查询结果等）。

超文本传输协议（HTTP）的设计目的是保证客户端与服务器之间的通信。 HTTP 的工作方式是客户端与服务器之间的请求-应答协议。客户端是终端用户，服务器端是网站。 web 浏览器可能是客户端，而计算机上的网络应用程序也可能作为服务器端。 举例：客户端（浏览器）向服务器提交 HTTP 请求；服务器向客户端返回响应。响应包含关于请求的状态信息以及可能被请求的内容。

GET方法

GET常被用于从指定的资源请求数据。

使用GET方法时查询字符串是在URL中发送的，比如：

	/test/demo_form.php?name1=value1&name2=value2

使用GET方法应该注意以下几点：

• GET 请求可被缓存
• GET 请求保留在浏览器历史记录中
• GET 请求可被收藏为书签
• GET 请求不应在处理敏感数据时使用
• GET 请求有长度限制
• GET 请求只应当用于取回数据

POST方法

POST常被用于向指定的资源提交要被处理的数据。

使用GET方法时查询字符串是在HTTP 消息主体中发送的，比如：

	POST /test/demo_form.php HTTP/1.1
Host: www.example.com
name1=value1&name2=value2

使用POST方法应该注意以下几点：

• POST 请求不会被缓存
• POST 请求不会保留在浏览器历史记录中
• POST 不能被收藏为书签
• POST 请求对数据长度没有要求

对比GET和POST