好的，以下是基于 Markdown 格式的 Web 安全学习笔记：

Web 安全学习笔记

1. 常见的 Web 攻击类型

1.1 点击劫持攻击（Clickjacking）

点击劫持指的是攻击者通过覆盖一个透明的图层在用户看不见的情况下欺骗用户点击页面上的某个位置，从而完成一些不良操作。举个例子，攻击者可以在一个常见的按钮上放一个透明的 iframe，使用户在点击按钮时实际上点击了 iframe 上的另一个按钮。

1.2 跨站脚本攻击（XSS）

跨站脚本攻击指的是攻击者在 Web 页面注入一些恶意脚本，当用户访问该页面时，使得恶意脚本能够在用户的浏览器中运行，从而窃取用户的信息或者进行其他不良操作。举个例子，攻击者可以在提交表单时注入恶意脚本，使得用户填写的数据被窃取并发送到攻击者的服务器上。

1.3 SQL 注入攻击（SQL Injection）

SQL 注入攻击指的是攻击者在 Web 页面中注入一些恶意 SQL 语句，当运行该语句时，使得攻击者能够访问或者修改数据库中的数据。举个例子，攻击者可以在登录表单中输入一些恶意语句，从而绕过登录验证，成功登录该网站并做一些未授权操作。

1.4 跨站请求伪造攻击（CSRF）

跨站请求伪造攻击指的是攻击者通过对用户已有的 Web 认证信息（Cookie）进行利用，模拟用户的请求发送到 Web 服务器上，从而完成一些不良操作。举个例子，攻击者可以构造一个页面，在其中引导用户点击，用户的浏览器会自动发送一个删除文章的请求，但是实际上这个请求是攻击者构造的，从而成功删除了文章。

2. Web 安全防御

2.1 输入合法性验证

在用户提交数据之前，对输入数据进行合法性验证是非常重要的。例如，对于一个登录表单，我们应该验证用户输入的用户名和密码是否符合规范，是否存在特殊字符等异常情况。

2.2 输出编码转义

当从后端获取到数据并在前端展示时，我们应该对数据进行编码转义，防止恶意脚本注入。例如，我们可以使用 HTML 的转义字符来转义关键字符：< 转义为 <，> 转义为 >

2.3 防御跨站请求伪造攻击

防御跨站请求伪造攻击的最好方法是加 CSRF Token。在用户进行操作之前，先验证用户的表单中是否包含正确的 CSRF Token，只有当 Token 正确才执行操作。

2.4 HTTPS 加密传输

HTTPS 协议可以加密传输数据，防止数据在传输过程中被篡改或者窃取。因此，在对用户输入数据进行传输时，我们应该使用 HTTPS 协议来保护数据安全。

结束语

Web 安全事关用户隐私和企业信息安全，因此在开发 Web 应用程序时，我们应该重视 Web 安全问题，遵守安全编码规范，不断完善安全防御措施，以保护用户和企业的利益。