大量資料與服務在web上建立，著實方便
而代價就是存在一定的風險，再開始前先行了解browser由什麼組成吧

同源策略(Same Origin Policy)

瀏覽器當中最重要的安全控制為同源策略(通稱SOP)，目的為限制資料來源間的互動

HTTP標頭

可將http標頭看作包裹上的地址與相關指示，規定內容物的去處及處理方式
而web client端所有請求開頭http標頭給web server時，web server也會使用http標頭當回應的第一個項目
但為了在眾多瀏覽器之中存活下來，衍生出許多安全功能來防衛

1. 內容安全策略(Content Security Policy，CSP)
   CSP HTTP標頭能夠限制腳本的內容，主要是為了減緩XSS漏洞，例如能否使用javascript的eval函數
2. Secure Cookie標誌
   當瀏覽器與伺服器通過https建立時，會產生會話令牌(token)，在某些方法下http也能取得token拿到cookie
   Secure cookie功能為指示瀏覽器不在非https通道上傳送cookie
3. HttpOnly Cookie標誌
   現今瀏覽器都遵守這項指令，HttpOnly標誌讓瀏覽器不允許任何腳本存取cookie內容
   主要防範XSS漏洞
4. Strict-Transport-Security
   當使用此標頭，與網站溝通的瀏覽器只允許在有效的HTTPS上傳輸，非HTTPS通道一律無法執行

標記語言

標記語言是一種指定如何顯示內容的方法
HTML(HyperText Markup Language)
用來顯示網頁的主要語言，最初由標準通用標記語言(SGML)衍生而來

層疊樣式表(CSS)

CSS為web瀏覽器用來指定網頁內容樣式的主要方法

腳本

1. JavaScript
   支援功能性及物件導向的程式概念，屬於弱型別
2. VBScript
   只有MicroSoft的瀏覽器支援，卻很少用於web開發，因為不允許跨越瀏覽器，但多數功能JavaScript都可實現

文件物件模型

通稱DOM，為瀏覽器基礎概念，在HTML或XML文件透過物件互動的API

WebSocket

websocket是一種瀏覽器的技術，讓我們在瀏覽器和伺服器間開啟一個互動式、迅速反應，及全雙工的通道技術
用來取代AJAX-push的技術(如Comet)，comet需要額外的函式庫，而瀏覽器本身便有websocket

WebRTC

web即時通訊(Web Real-Time Communication)，此API允許瀏覽器以所需最低延遲和最高頻寬溝通，支援即時與多媒體裝置溝通

渲染引擎(Rendering Engines)

負責將資料轉換成一種有用的格式，以便呈現於螢幕