互联网本来是安全的，自从有了研究安全的人之后，互联网就变得不安全了!

安全三要素(CIA),分别是机密性，完整性，可用性。

威胁建模，风险分析
STRIDE,DREAD模型
安全问题的本质是信任问题
secure by default原则
1.黑名单，白名单
2.最小权限
3.纵深防御
4.数据与代码分离
4.不可预测性
浏览器的安全以同源策略为基础
xss
1, 反射型xss

1. 存储型xss
2. dom based xss