书名:WEB之困-现代WEB应用安全指南 作者:Michal Zalewski 翻译:朱筱丹
▍内容介绍
本书分为两部分,第一部分对 web 进行解剖分析,第二部分探讨浏览器安全特性1。具体内容如下1:
第一部分:对 web 的解剖分析:
· 第 2 章 一切从 url 开始:详细介绍了 URL 的结构,包括协议名称、层级 URL 的标记符号、访问资源的身份验证等方面,还阐述了保留字符和百分号编码、常见的 URL 协议及功能、相对 URL 的解析等内容。
· 第 3 章 HTTP 协议:讲解了 HTTP 基本语法,如支持 HTTP/0.9 的恶果、换行处理带来的各种混乱等,同时介绍了 HTTP 请求类型、服务器响应代码、持续会话、分段数据传输、缓存机制、HTTP Cookie 语义、HTTP 认证等。
· 第 4 章 HTML 语言:介绍了 HTML 文档背后的基本概念,如文档解析模式、语义之争等,还讲解了 HTML 解析器的行为、HTML 实体编码、HTTP/HTML 交互语义、超链接和内容包含等。
· 第 5 章 层叠样式表:介绍了 CSS 基本语法,如属性定义、@指令和 XBL 绑定、与 HTML 的交互等,还讲解了重新同步的风险、字符编码等。
· 第 6 章 浏览器端脚本:介绍了 JavaScript 的基本特点,如脚本处理模型、执行顺序的控制、代码和对象检视功能等,还讲解了标准对象层级、脚本字符编码、代码包含模式和嵌入风险等。
· 第 7 章 非 HTML 类型文档:介绍了纯文本文件、位图图片、音频与视频、各种 XML 文件等非 HTML 类型文档的相关知识。
· 第 8 章 浏览器插件产生的内容:介绍了对插件的调用、文档显示帮助程序、插件的各种应用框架等内容。
第二部分:浏览器安全特性:
· 第 9 章 内容隔离逻辑:介绍了 DOM 的同源策略、XMLHttpRequest 的同源策略、Web Storage 的同源策略、Cookies 的安全策略等。
· 第 10 章 源的继承:介绍了 about:blank 页面的源继承、data:url 的继承、JavaScript: 和 VBScript:url 对源的继承等。
· 第 11 章 同源策略之外的世界:介绍了窗口和框架的交互、跨域内容包含、与隐私相关的副作用等。
· 第 12 章 其他的安全边界:介绍了跳转到敏感协议、访问内部网络、禁用的端口、对第三方 Cookie 的限制等。
· 第 13 章 内容识别机制:介绍了文档类型检测的逻辑、字符集处理等。
· 第 14 章 应对恶意脚本:介绍了拒绝服务攻击、窗口定位和外观问题等。
▍作者介绍
本书作者是 Michal Zalewski,他是国际一流信息安全技术专家,被誉为 IT 安全领域最有影响力的 11 位黑客之一1。他曾发现过数以百计的网络安全漏洞,并发表了多篇具有重大影响的研究论文1。对现代 Web 浏览器有非常深入的研究,目前就职于 Google,基于其在 Web 安全方面的丰富经验帮助 Google 增强包括 Chrome 浏览器在内的一系列产品的安全性1。此外,他还是一位开源软件贡献者,是著名开源软件 p0f、skipfish、ratproxy 等的开发者1。