据阿里巴巴公布的数据显示，今年双 11 天猫累计下单金额 4982 亿元。与此同时，京东的累计下单金额也远超 2715 亿元。仅仅这两个平台的消费额加起来就近万亿元，这无疑是一个新的记录。

但当我们沉浸在低价买到心仪商品的喜悦中时，各大电商平台却遭受着一次又一次的黑产攻击。拿阿里巴巴去年双十一举例，2684 亿交易额的背后，是一天内 22 亿次的黑产攻击。

更不用提近几年层出不穷的 Web 安全事件了，比如数据库资料被窃取、删除；服务器遭受入侵，用户帐号被盗；用户资料被修改、被钓鱼、勒索病毒等等，这些都说明了 Web 安全的重要性。

其实，早在 PC 崛起之际，Web 就走到了主导市场的地位。从 CS 模式到 BS 模式，随着 Web 应用的各种功能升级，风险也不断增大，毕竟攻防是个不断转换的状态，功能越多就意味着被攻击的可能性越高。

对开发者来说，攻击和防护是同一事物的一体两面。熟悉安全攻防技术，才能防患于未然，开发出更加安全的产品和服务，进而提升用户对产品的信任度。

但是，Web 安全跟开发不同，无法学一部分就用一部分。它是一个 Web 领域全维度的东西，覆盖的知识面非常广，不仅要求你深入了解网络协议，还要掌握一些前后端代码及数据库的相关知识。

这里，分享给你一张 Web 安全攻防要点图，你可以借此梳理核心知识点。