[本月活动]《Web之困：现代Web应用安全指南》有奖试读活动 [复制链接]

抽奖抽奖，送书送书

好书，值得一看

顶一下，看看值不值得先！

首先感谢本论坛和出版社给这次试读的资格，本人就这本书的试读章节做了一个总结，不仅详细和专业还请指导。
本书详细的解剖了关于web的相关知识，从进程开始和操作系统开始。第一部分解剖了现代浏览器的工作原理，包括URL、HTTP协议、HTML语言、CSS、文档格式、浏览器插件等内容；第二部分从浏览器的设计角度深入分析了各种现代Web浏览器（Firefox、Chrome、IE等）所引入的重点安全机制，例如同源策略、源的继承、窗口和框架的交互、安全边界、内容识别、应对恶意脚本、外围的网站特权等，并分析了这些机制存在的安全缺陷，同时为Web应用开发者提供了如何避免攻击和隐私泄露的应对措施；第三部分对浏览器安全机制的未来趋势进行了展望，包括新的浏览器特性与安全展望、其他值得注意的浏览器、常见的Web安全漏洞等。本书主要的说浏览器与安全之间的关系。
  但在浏览器的世界里，却压根不存在这种隔离：文档和代码就交织在同一个HTML文件里，完全无关的应用之间最多只能算部分隔离（实际上所有网站使用的是同一个全局JavaScript运行环境），除了要遵守寥寥几个灵活的浏览器级别的安全控制框架，不同网站之间各种交互都是隐式默许的。

从某种程度来说，Web的这种模型与那些没有强壮的内存保护、CPU抢占或多用户支持的非多任务操作系统（如CP/M、DOS等）相类似。但明显不同的是，这些早期系统不太可能出现同时运行多个不受信任且易被攻击的应用的情况，自然也无需特别顾虑安全上的问题。

首先感谢本论坛和出版社给这次试读的资格，

从某种程度来说，Web的这种模型与那些没有强壮的内存保护、CPU抢占或多用户支持的非多任务操作系统（如CP/M、DOS等）相类似。但明显不同的是，这些早期系统不太可能出现同时运行多个不受信任且易被攻击的应用的情况，自然也无需特别顾虑安全上的问题。

这里,我非常希望获得这本书,借着红黑论坛 发表一下读后感以及个人实践的经验
首先,此书从历史角度介绍了浏览器的发展,以及演变过程.以及web安全的格局与困惑,浏览器发展的协同与c/s架构的日渐模糊化
其次,第二章介绍了一切从url开始以及ascii编码,以及第三方应用插件与 web协议.以及浏览器的filter(过滤器) 并说明了安全方法:在很罕见的情况下，可能还需要检查URL里的IDNA、IPv6括号表示法、端口号或HTTP验证授权信息等。如果确实需要，必须对整个URL进行彻底的解析，验证各个部分，拒绝不正常的值，重新把整个URL序列化成一个没有歧义，符合规范，经过恰当转义的表达形式。

令注入
cookie SQL注入
SQL错误信息 注入
LDAP注入
XPath注入
JSON注入
框架注入
链接注入
……等

二、XSS跨站攻击
XSS也是一种网站应用程序的安全漏洞攻击
大体上分三类：
反射型XSS
存储型XSS
DOM XSS
详细划分还可以划分为：
mhtml跨站、宽字符集跨站等等

谢谢出版社提供的这次机会  我先顶一顶

好书 值得一看啊

大家都来看吧机会多多