diff --git a/notes/HTTP.md b/notes/HTTP.md
index dc706e08..78627a16 100644
--- a/notes/HTTP.md
+++ b/notes/HTTP.md
@@ -38,7 +38,10 @@
     * [加密](#加密)
     * [认证](#认证)
     * [完整性](#完整性)
-* [七、各版本比较](#七各版本比较)
+* [七、Web 攻击技术](#七web-攻击技术)
+    * [攻击模式](#攻击模式)
+    * [跨站脚本攻击](#跨站脚本攻击)
+* [八、各版本比较](#八各版本比较)
     * [HTTP/1.0 与 HTTP/1.1 的区别](#http10-与-http11-的区别)
     * [HTTP/1.1 与 HTTP/2.0 的区别](#http11-与-http20-的区别)
 * [参考资料](#参考资料)
@@ -530,7 +533,39 @@ HTTPs 采用  **混合的加密机制** ，使用公开密钥加密用于传输
 
 SSL 提供摘要功能来验证完整性。
 
-# 七、各版本比较
+# 七、Web 攻击技术
+
+Web 攻击的主要目标是使用 HTTP 协议的 Web 应用。
+
+## 攻击模式
+
+### 1. 主动攻击
+
+直接攻击服务器，具有代表性的有 SQL 注入和 OS 命令注入。
+
+### 2. 被动攻击
+
+设下圈套，让用户发送有攻击代码的 HTTP 请求，那么用户发送了该 HTTP 请求之后就会泄露 Cookie 等个人信息，具有代表性的有跨站脚本攻击和跨站请求伪造。
+
+## 跨站脚本攻击
+
+### 1. 概念
+
+Cross-Site Scripting, XSS，入侵者（Perpertrator）通过存在安全漏洞的 Web 网站，
+
+<div align="center"> <img src="../pics//xss-attack.png" width="600"/> </div><br>
+
+### 2. 危害
+
+**（一）伪造虚假的输入表单骗取个人信息** 
+
+
+**（二）窃取用户的 Cookie 值** 
+
+
+**（三）显示伪造的文章或者图片** 
+
+# 八、各版本比较
 
 ## HTTP/1.0 与 HTTP/1.1 的区别
 
diff --git a/notes/分布式问题分析.md b/notes/分布式问题分析.md
index 2ba1270b..193d9a8b 100644
--- a/notes/分布式问题分析.md
+++ b/notes/分布式问题分析.md
@@ -166,7 +166,7 @@ Java 提供了两种内置的锁的实现，一种是由 JVM 实现的 synchroni
 
 ## 使用场景
 
-例如一个应用有手机 APP 端和 Web 端，如果在两个客户端同时进行一项操作时，那么就会导致这项操作重复进行。
+在服务器端使用分布式部署的情况下，一个服务可能分布在不同的节点撒花姑娘，比如订单服务分布式在节点 A 和节点 B 上。如果多个客户端同时对一个服务进行请求时，就需要使用分布式锁。例如当 APP 端的请求路由到了节点 A，WEB 端被路由到了 B 服务，这时对共享资源进行使用时需要使用分布式锁。
 
 ## 实现方式
 
diff --git a/pics/xss-attack.png b/pics/xss-attack.png
new file mode 100644
index 00000000..a3025d4d
Binary files /dev/null and b/pics/xss-attack.png differ