#每日一书#

7.17 Web之困

Web之困:现代Web应用安全指南

此本书,购入于2013年11月,时间有点久了,应该是中文版出来就买了。 很多人是先看的英文版,中文版的翻译其实还是有点问题。

这本书算是Web安全领域的圣经,作者是来自Chrome团队的资深顶级黑客,是目前唯一深度探索现代web浏览器安全技术的专著。

2013年的内容,其实也不算过时。主要是因为这本书讨论的很多东西都是浏览器相关的安全。

第一部分主要是讲,对web的解剖分析,像解释浏览器怎么解析URL,HTTP协议,HTML,css和浏览器脚本,浏览器插件等内容。这里有很多内容是解释为啥当时的很多流行的bypass措施等为啥会生效等。

第二部分,讲浏览器安全。主要是内容隔离逻辑,同源策略,内容识别,应对恶意脚本等等。 主要是开发和安全人员都需要注意的一些内容。当时应该CSP之类的都还没广泛应用。

第三部分,主要是介绍浏览器安全机制的未来趋势。

这本书还是适合开发人员和安全人员读读。
评论加载中...