1.1. Web技术演化

1.1.1. 静态页面

Web技术在最初阶段，网站的主要内容是静态的，大多站点托管在ISP上，由文字和图片组成，制作和表现形式也是以表格为主。当时的用户行为也非常简单，基本只是浏览网页。

1.1.2. 多媒体阶段

随着技术的不断发展，音频、视频、Flash等多媒体技术诞生了。多媒体的加入使得网页变得更加生动形象，网页上的交互也给用户带来了更好的体验。

1.1.3. CGI阶段

渐渐的，多媒体已经不能满足人们的请求，于是CGI（Common Gateway Interface）应运而生。CGI定义了Web服务器与外部应用程序之间的通信接口标准，因此Web服务器可以通过CGI执行外部程序，让外部程序根据Web请求内容生成动态的内容。

在这个时候，各种编程语言如PHP/ASP/JSP也逐渐加入市场，基于这些语言可以实现更加模块化的、功能更强大的应用程序。

1.1.4. Ajax

在开始的时候，用户提交整个表单后才能获取结果，用户体验极差。于是Ajax（Asynchronous Javascript And XML）技术逐渐流行起来，它使得应用在不更新整个页面的前提下也可以获得或更新数据。这使得Web应用程序更为迅捷地回应用户动作，并避免了在网络上发送那些没有改变的信息。

1.1.5. MVC

随着Web应用开发越来越标准化，出现了MVC等思想。MVC是Model/View/Control的缩写，Model用于封装数据和数据处理方法，视图View是数据的HTML展现，控制器Controller负责响应请求，协调Model和View。

Model，View和Controller的分开，是一种典型的关注点分离的思想，使得代码复用性和组织性更好，Web应用的配置性和灵活性也越来越好。而数据访问也逐渐通过面向对象的方式来替代直接的SQL访问，出现了ORM（Object Relation Mapping）的概念。

除了MVC，类似的设计思想还有MVP，MVVM等。

1.1.6. RESTful

在CGI时期，前后端通常是没有做严格区分的，随着解耦和的需求不断增加，前后端的概念开始变得清晰。前端主要指网站前台部分，运行在PC端、移动端等浏览器上展现给用户浏览的网页，由HTML5、CSS3、JavaScript组成。后端主要指网站的逻辑部分，涉及数据的增删改查等。

此时，REST（Representation State Transformation）逐渐成为一种流行的Web架构风格。

REST鼓励基于URL来组织系统功能，充分利用HTTP本身的语义，而不是仅仅将HTTP作为一种远程数据传输协议。一般RESTful有以下的特征：

• • 域名和主域名分开
  • • api.example.com
    • example.com/api/
• • 带有版本控制
  • • api.example.com/v1
    • api.example.com/v2
• • 使用URL定位资源
  • • GET /users 获取所有用户
    • GET /team/:team/users 获取某团队所有用户
    • POST /users 创建用户
    • PATCH/PUT /users 修改某个用户数据
    • DELETE /users 删除某个用户数据
• • 用 HTTP 动词描述操作
  • • GET 获取资源，单个或多个
    • POST 创建资源
    • PUT/PATCH 更新资源，客户端提供完整的资源数据
    • DELETE 删除资源
• • 正确使用状态码
  • • 使用状态码提高返回数据的可读性
• 默认使用 JSON 作为数据响应格式
• 有清晰的文档

1.1.7. 云服务

云计算诞生之前，大部分计算资源是处于“裸金属”状态的物理机，运维人员选择对应规格的硬件，建设机房的 IDC 网络，完成服务的提供，投入硬件基础建设和维护的成本很高。云服务出现之后，使用者可以直接购买云主机，基础设施由供应商管理，这种方式也被称作 IaaS（Infrastructure-as-a-Service）。

在这个阶段，Web的架构也越发复杂，代理服务、负载均衡、数据库分表、异地容灾、缓存、CDN、消息队列、安全防护等技术应用越来越广泛，增加了Web开发和运维的复杂度。

随着架构的继续发展，应用的运行更加细粒度，部署环境容器化，各个功能拆成微服务或是Serverless的架构。

1.1.7.1. Serverless

Serverless 架构由两部分组成，即 Faas（Function-as-a-Service） 和 BaaS（Backend-as-a-Service）。

FaaS是运行平台，用户上传需要执行的逻辑函数如一些定时任务、数据处理任务等到云函数平台，配置执行条件触发器、路由等等，就可以通过云平台完成函数的执行。

BaaS包含了后端服务组件，它基于 API 完成第三方服务，主要是数据库、对象存储、消息队列、日志服务等等。

1.1.7.2. CI/CD

持续集成（CI，Continuous Integration）是让开发人员将工作集成到共享分支中的过程。频繁的集成有助于解决隔离，减少每次提交的大小，以降低合并冲突的可能性。

持续交付（CD，Continuous Deployment）是持续集成的扩展，它将构建从集成测试套件部署到预生产环境。这使得它可以直接在类生产环境中评估每个构建，因此开发人员可以在无需增加任何工作量的情况下，验证bug修复或者测试新特性。

1.1.7.3. API网关

API网关是一个服务器，客户端只需要使用简单的访问方式，统一访问API网关，由API网关来代理对后端服务的访问，同时由于服务治理特性统一放到API网关上面，服务治理特性的变更可以做到对客户端透明，一定程度上实现了服务治理等基础特性和业务服务的解耦，服务治理特性的升级也比较容易实现。

1.1.8. 参考链接

• Scaling webapps for newbs
• GitHub 的 Restful HTTP API 设计分解

1.2. Web攻防技术演化

1939年，图灵破解了Enigma，使战争提前结束了两年，这是较早的一次计算机安全开始出现在人们的视野中，这个时候计算机的算力有限，人们使用的攻防方式也相对初级。

而后随着因特网不断发展，网络安全也开始进入人们的视野。在这个时候，很多网站都是零防护的，也没有很多人有安全意识。很多系统的设计也只考虑了可用性，对安全性的考虑不多，所以在当时结合搜索引擎与一些集成渗透测试工具，可以很容易的拿到数据或者权限。

而后随着时代的发展，攻防技术有了很大的改变，防御手段逐渐进化。在攻击发生前有威胁情报、黑名单共享等机制，威胁及时能传播。在攻击发生时有基于各种机制的防火墙如关键字检测、语义分析、深度学习，有的防御机制甚至能防零日攻击。在攻击发生后，一些关键系统系统做了隔离，攻击成果难以扩大，就算拿到了目标也很难做进一步的攻击。也有的目标蜜罐仿真程度很高，有正常的服务和一些难以判断真假的业务数据。

1.3. 安全观

1.3.1. 三个最基本要素

• 机密性（Confidentiality）
• 完整性（Integrity）
• 可用性（Availability）

1.3.2. 术语

• 缺点 (defect / mistake)
  • 软件在实现上和设计上的弱点
  • 缺点是缺陷和瑕疵的统称
• 缺陷(bug)
  • 实现层面的软件缺点
  • 容易被发现和修复
  • 例如：缓冲区溢出
  • 一种设计上的缺点，难以察觉
  • 瑕疵往往需要人工分析才能发现
  • 软件系统中错误处理或恢复模块，导致程序不安全或失效
• 漏洞(vulnerability)
  • 可以用于违反安全策略的缺陷或瑕疵