Web安全，向“前”看！——讀國內(nèi)第一本W(wǎng)eb前端***書

很久之前在學(xué)技術(shù)的時候，一直沒把Web端的安全當(dāng)回事。那時候圈子里流行的還是系統(tǒng)級別的exploit，遠程溢出和本地提權(quán)很紅火。“自動傳播”、“拿下系統(tǒng)權(quán)限”是當(dāng)時***們的主要目標，那也是網(wǎng)絡(luò)安全時代最美好的時期。

然而進入2000年之后，Web安全開始得到人們的重視。SQL注入首先成為明星，然后一發(fā)不可收拾。各種看似堅固的系統(tǒng)和僅開放80端口的服務(wù)器在此類***下變得異常脆弱。Web安全時代來臨了。

SQL注入+上傳Webshell這樣的***成為了業(yè)界主流，幾乎對動態(tài)Web服務(wù)無往不利。大中型企業(yè)和機構(gòu)紛紛增加了80端口的檢查和封堵?？吹揭恍㏒QL注入***被擋住的日志，他們臉上露出了滿意的微笑……

可是，厲害的Web***方式，就只有一個SQL注入嗎？

最近市面上出現(xiàn)的《Web前端***技術(shù)揭秘》一書，為大家揭曉了答案。

如果說SQL注入這類Web后端***方式比較直接，那XSS和CSRF、ClickJacking等前端***方式的運用則更為隱蔽。

在這本書中，作者向大家闡述了“草木竹石，均可為劍”的道理。在他們的眼中URL、HTML、JavaScript、CSS、ActionScript……幾乎每個地方都可以暗藏殺機。

無論是探究讓人頭疼的XSS和CSRF、還是解析Web蠕蟲和界面操作劫持，這本書都會讓人們在驚嘆之余眼前一亮。

如果要舉幾個前端***的例子，大家可以看看近期在互聯(lián)網(wǎng)上比較火的兩個帖子——《雅虎郵箱DOM XSS漏洞》與《如何通過***老師郵箱拿到期末考卷和修改成績》，里面用的XSS hack就是前端***技術(shù)。當(dāng)然，還有之前在Twitter上肆虐的跨站***蠕蟲，堪稱前端***的經(jīng)典案例。而這些技術(shù)，都只是《Web前端***技術(shù)揭秘》所包含的一部分而已。更多如百度、Google、人人網(wǎng)等真實案例的剖析，會讓人目不暇接。

而對于2012年底確認新標準的HTML5，書中也單獨開辟了一個章節(jié)以饗讀者?？赡苁峭孢^一段時間HTML5視頻技術(shù)的關(guān)系，我個人對這個章節(jié)印象比較深——提醒了我在書寫HTML5代碼的時候需要注意哪些地方。

書中介紹的很多HTML5跨站方式，足以讓現(xiàn)有的一些IPS***防御系統(tǒng)和WAF策略被繞過。formaction、onformchange、onforminput、autofocus等新屬性的加入，讓跨站防御工作變得更富挑戰(zhàn)性。

在最后的章節(jié)里作者從瀏覽器廠商和網(wǎng)站技術(shù)人員、用戶等多個角度集中提出了防御的辦法（比如：域分離、安全傳輸、安全的Cookie、優(yōu)秀的驗證碼、謹慎第三方內(nèi)容、X-Frame-Options防御、使用token等等），讓人們在面對這類***之前，可以做好充分準備。另外為了幫助大家更好的理解Web前端***的體系，鐘晨鳴（余弦）和徐少培（xisigr）兩位作者還專門做了個解析圖。

在大集中的云計算時代下，服務(wù)器的防護會做的越來越深，更多的駭客會選擇由前端入手獲取用戶的敏感數(shù)據(jù)。因此，理解前端***、理解用戶端***將是未來Web安全人員急需熟悉的內(nèi)容。

PS：這幾乎是國內(nèi)第一本專注Web前端的***書。之前看了太多的Web后端***，總算有Web前端的***書籍面世了。忍不住先睹為快，解解膩。和以往的***/安全類書籍不同，這本書除了適合安全愛好者與從業(yè)者閱讀之外，更值得Web前端工程師來一探究竟。當(dāng)很多人還覺得Web前端安全是窄眾的時候，也許這本書會讓他們產(chǎn)生新的看法。