前段时间遇到了一个问题，采用 Let’s Encrypt 证书部署 https 的网站，唯独在 IOS 平台访问极慢，会卡个三五秒空白页。通过查询发现，有人遇到过一样的问题，原因是 IOS 平台会在用户通过 https 协议访问网站时，实时校验证书状态（据称 MacOS 也会，博主手上没有设备）。

XSS 相关的安全问题在 WEB 安全中扮演着重要角色，不容忽视。对 Typecho 类的博客程序而言，与用户的交互比较少，注意留言、搜索两块的数据回显可能会造成的 XSS 问题即可。

提到 WEB 应用程序开发，必定会提到 MVC 开发模式。其中的 M 也就是 Model 即是指数据库操作层，往往会单独编写一个模块专门封装数据库操作接口，避免裸 SQL 的使用，Typecho中也有这一封装。同时，这一层也往往起到SQL注入防御的作用。

距离上次写文章不知不觉竟然都过了二十天了，时间还真是过得飞快啊...上一篇有说到举例说明CBC比特翻转攻击的实例应用，这个说实话在真实环境中还是比较难找到案例的，所以这里就以一道CTF赛题来说明吧 :) 上一篇传送门：CBC 比特翻转攻击详解

暂且先不讨论CBC模式本身而言在密码学上的安全性。首先看为什么不能直接使用块加密例如：AES或者3DES之类的对保密性数据进行加密。