协议

HTTP协议

是WWW服务器和用户请求代理之间通过应答请求模式传输超文本的一种协议。

HTTPS协议

HTTPS协议是通过SSL层来加密HTTP数据进行安全传输的HTTP协议，可以防止HTTP劫持。

WebSocket

WebSocket是浏览器端和服务端进行实时通信的一种协议，可以在服务器端和浏览器端进行Socket方式的消息通信。

RESTful数据协议规范

RESTful是一种软件架构之间交互调用数据的协议风格规范，它建议以一种通用的方式来定义和管理数据交互调用接口。

安全机制

XSS：跨站脚本攻击，由于带有页面可解析的数据未经处理直接插入到页面上解析导致的。解决方法是把可能包含攻击的内容进行HTML字符编码转译。

SQL注入：主要是因为页面提交数据到服务器端后，在服务器端未进行数据验证就直接将数据拼接到SQL语句中执行，产生了与预期不同的现象。解决方法是对传入的内容进行检验，检查是否包含非法内容。

CSRF：跨站伪请求，解决方式是通过页面Token提交验证的方式来验证请求是否为源站点页面提交的，来阻止跨站伪请求的发生。

浏览器安全机制

X-XSS-Protection： 这个消息头用来防止浏览器中的反射性XSS（url）的问题发生。

Strict Transport Security（STS）： 用来配置浏览器和服务器之间的安全通信的机制，强制所有通信都使用HTTPS。

Content-Security-Policy：简称CSP，通过CSP所约束的规则设定，浏览器只能加载指定的域名来源的内容。

Access-Control-Allow-Origin：这个头部设置决定哪些网站可以访问当前服务器的资源，通过定一个通配符或域名来决定是单一的网站还是所有网站都可以访问服务器的资源。