文档介绍:前 言
安全之路任重道远,前端安全是众多安全中的一个分支,互联网上各种网站让人眼花,
千奇百怪的业务需求、安全问题,真要做好安全架构又谈何容易呢?我们知道,这次我们
仅仅为互联网安全的进化奠定了一块砖头而已。
本书点透了很多关键的点,每个点的内容不一定覆盖完全,也不一定用了足够的文字
进行描述,往往适可而止,但这些点却是 Web 前端安全基石的重要组成,如:信任与信任
关系、Cookie 安全、Flash 安全、DOM 渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕
虫思想等。
我们试图尽最大的努力使本书的内容涵盖完全,但发现这是不可能的事。闻道有先后,
术业有专攻,我们写出了我们擅长的点,还有很多点是我们不敢去写的,时间与精力是我
们最大的障碍。另外,我们认为,本书的知识点足以打开 Web 前端黑客的大门,有了这些
沉淀后,大家完全可以持续跟进国内外优秀的技术文章与案例进行内功修炼,并在各种实
战中不断加强。
网站安全是一个大问题,安全关注点也在逐渐转移,从刚开始的服务端安全,如缓冲
区溢出、CGI 解析缺陷、纯 Web 层面的 SQL 注入等,到客户端安全,如 XSS 跨站脚本、
CSRF 跨站请求伪造等。大家的意识与防御层面也随着 Web 安全的发展进化着。对网站来
说,重视某些安全风险最好的办法就是将该风险最大化,这也是本书的目的,最终是让 Web
更好、更安全。
VII
■ 一些约定
本书说的前端都指 Web 前端,也可以说是客户端,或者浏览器端。
本书涉及的前端安全舞台基本上都是浏览器。浏览器更新换代的速度非常快,也许
在你看到本书时,一些技巧已经不适用了。没关系,因为思想更重要,我们在撰写
本书时默认使用的主流浏览器的最新版本是:Firefox 15、Chrome 21、IE 9。
■ 前端黑客的内容
前端安全主要有三类:XSS、CSRF、界面操作劫持。从 XSS 到 CSRF,再到界面操作
劫持,越往后,社工(社会工程学的简称)成分越浓厚。我们会发现这个 Web 世界越不可
信,攻击也似乎变得越无聊,实施这类攻击的代价也越来越大。界面操作劫持需要很好的
美工基础,因此,你让一个黑客去搞美工是不太现实的,因为现在有很多好的方式可以黑
下目标。
所以,本书关于界面操作劫持的内容更多的是具有研究性质的,而很少用于真正的攻
击,即使我们已经完成了