Session劫持（Session hijacking attack）

https://owasp.org/www-community/attacks/Session_hijacking_attack
Session劫持攻击的方式来源于对Web Session机制，也就是对Session token的管理的利用。
由于HTTP交流使用许多TCP连接，Web Server需要一个方法去组织管理每个用户的连接。最有用的方法就是在Server端认证连接成功后，发送token到客户端。Session通常由可变宽度的字符串组成，它可以以不同的方式使用，例如在URL中、作为cookie的http请求的头中、在http请求的头的其他部分中或在http请求的主体中。
Session劫持攻击通过窃取或预测有效的Session以获得对Web服务器的未经授权的访问来危害Session。

CORS(Cross-Origin Resource Sharing, 跨域资源共享)

https://developer.mozilla.org/en-US/docs/Web/HTTP/Access_control_CORS

什么是CORS？这个网站帮你了解HTTP跨站请求的机制。

Web前端

MDN-JavaScript

https://developer.mozilla.org/zh-CN/docs/Web/JavaScript

HTML5/CSS3特性检测库 Modernizr（包扩js兼容性检测）

http://modernizr.cn/

雅虎14条性能优化原则

https://developer.yahoo.com/performance/rules.html
Web开发工程师人人必看的

高性能建站笔记

https://etianqq.gitbooks.io/highperformancewebsites/content/
一本偏向前端的，但实际上大家都应该懂的应用技巧书，里面讲述的都是最基本但不一定都知道的关于网站性能的要领

Server端

Apache

Apache的官网，里面有很全面很权威的文档，就不多提了。

Apache Module mod_rewrite

如何在vhost中写好访问规则？

PHP

PHP最佳实践

https://phpbestpractices.justjavac.com/
一份简短的关于 PHP 容易混淆知识点的实用指南

PHP代码规范检测工具PHP_CodeSniffer

PHPCS，一个关于php代码规范的检测工具，可以具体到每一行的每一个空格，也可以集成到编辑器中使用，实测sublime可以很好用，Ctrl+S保存的时候它就会检测一次，并标出有问题的行。
编码规范：https://github.com/squizlabs/PHP_CodeSniffer/wiki/Coding-Standard-Tutorial
sublime-phpcs插件：http://benmatselby.github.io/sublime-phpcs/

PHP单元测试PHPunit

php单元测试，对于代码更新有很大的帮助，入手难，理解也很难，但其实原理很好懂，有了它，可以减少无限次的浏览器刷新和跑去看数据库里面的数据对不对，好的项目都有测试环境，区别于开发环境和线上环境，测试环境的配置不就是为了PHPunit准备的吗？
测试用例：https://github.com/sebastianbergmann/money