WEB之困：现代WEB应用安全指南＝THE TANGLED WEB A GUIDE TO SECURING MODERN WEB APPLICATIONSPDF电子书下载

第1章 Web应用安全 1

1.1信息安全速览 1

1.1.1正统之道的尴尬 2

1.1.2进入风险管理 4

1.1.3分类学的启发 5

1.1.4实际的解决之道 6

1.2 Web的简明历史 7

1.2.1史前时期的故事：1945～1994年 8

1.2.2第一次浏览器大战：1995～1999年 10

1.2.3平淡期：2000～2003年 11

1.2.4 Web 2.0和第二次浏览器大战：2004年之后 12

1.3风险的演化 13

1.3.1用户作为安全风险的一个环节 14

1.3.2难以隔离的Web运行环境 14

1.3.3缺乏统一的格局 15

1.3.4跨浏览器交互：失败的协同 16

1.3.5客户端和服务器端界限的日益模糊 17

第一部分对Web的解剖分析 20

第2章 一切从URL开始 20

2.1 URL的结构 21

2.1.1协议名称 21

2.1.2层级URL的标记符号 22

2.1.3访问资源的身份验证 22

2.1.4服务器地址 23

2.1.5服务器端口 24

2.1.6层级的文件路径 24

2.1.7查询字符串 25

2.1.8片段ID 25

2.1.9把所有的东西整合起来 26

2.2保留字符和百分号编码 28

2.3常见的URL协议及功能 33

2.3.1浏览器本身支持、与获取文档相关的协议 33

2.3.2由第三方应用和插件支持的协议 33

2.3.3未封装的伪协议 34

2.3.4封装过的伪协议 34

2.3.5关于协议检测部分的结语 35

2.4相对URL的解析 35

2.5安全工程速查表 37

第3章 HTTP协议 38

3.1 HTTP基本语法 39

3.1.1支持HTTP/0.9的恶果 40

3.1.2换行处理带来的各种混乱 41

3.1.3经过代理的HTTP请求 42

3.1.4对重复或有冲突的头域的解析 44

3.1.5以分号作分隔符的头域值 45

3.1.6头域里的字符集和编码策略 46

3.1.7 Referer头域的表现 48

3.2 HTTP请求类型 48

3.2.1 GET 49

3.2.2 POST 49

3.2.3 HEAD 49

3.2.4 OPTIONS 50

3.2.5 PUT 50

3.2.6 DELETE 50

3.2.7 TRACE 50

3.2.8 CONNECT 50

3.2.9其他HTTP方法 51

3.3服务器响应代码 51

3.4持续会话 53

3.5分段数据传输 55

3.6缓存机制 55

3.7 HTTP Cookie语义 57

3.8 HTTP认证 60

3.9协议级别的加密和客户端证书 61

3.9.1扩展验证型证书 62

3.9.2出错处理的规则 63

3.10安全工程速查表 64

第4章 HTML语言 65

4.1 HTML文档背后的基本概念 66

4.1.1文档解析模式 67

4.1.2语义之争 68

4.2理解HTML解析器的行为 69

4.2.1多重标签之间的交互 70

4.2.2显式和隐式的条件判断 71

4.2.3 HTML解析的生存建议 71

4.3 HTML实体编码 72

4.4 HTTP/HTML交互语义 73

4.5超链接和内容包含 75

4.5.1单纯的链接 75

4.5.2表单和表单触发的请求 75

4.5.3框架 77

4.5.4特定类型的内容包含 78

4.5.5关于跨站请求伪造 80

4.6安全工程速查表 81

第5章 层叠样式表 83

5.1 CSS基本语法 84

5.1.1属性定义 85

5.1.2＠指令和XBL绑定 85

5.1.3与HTML的交互 86

5.2重新同步的风险 86

5.3字符编码 87

5.4安全工程速查表 89

第6章 浏览器端脚本 90

6.1JavaScript的基本特点 91

6.1.1脚本处理模型 92

6.1.2执行顺序的控制 95

6.1.3代码和对象检视功能 96

6.1.4修改运行环境 97

6.1.5 JavaScript对象表示法（JSON）和其他数据序列化 99

6.1.6 E4X和其他语法扩展 101

6.2标准对象层级 102

6.2.1文档对象模型 104

6.2.2对其他文档的访问 106

6.3脚本字符编码 107

6.4代码包含模式和嵌入风险 108

6.5活死人：Visual Basic 109

6.6安全工程速查表 110

第7章 非HTML类型文档 112

7.1纯文本文件 112

7.2位图图片 113

7.3音频与视频 114

7.4各种XML文件 114

7.4.1常规XML视图效果 115

7.4.2可缩放向量图片 116

7.4.3数学标记语言 117

7.4.4 XML用户界面语言 117

7.4.5无线标记语言 118

7.4.6 RSS和 Atom订阅源 118

7.5关于不可显示的文件类型 119

7.6安全工程速查表 120

第8章 浏览器插件产生的内容 121

8.1对插件的调用 122

8.2文档显示帮助程序 124

8.3插件的各种应用框架 125

8.3.1 Adobe Flash 126

8.3.2 Microsoft Silverlight 128

8.3.3 Sun Java 129

8.3.4 XML Browser Applications 129

8.4 ActiveX Controls 130

8.5其他插件的情况 131

8.6安全工程速查表 132

第二部分 浏览器安全特性 134

第9章 内容隔离逻辑 134

9.1 DOM的同源策略 135

9.1.1 document.domain 136

9.1.2 postMessage（…） 137

9.1.3与浏览器身份验证的交互 138

9.2 XMLHttpRequest的同源策略 139

9.3 Web Storage的同源策略 141

9.4 Cookies的安全策略 142

9.4.1 Cookie对同源策略的影响 144

9.4.2域名限制带来的问题 145

9.4.3 1ocal host带来的非一般风险 145

9.4.4 Cookie与“合法”DNS劫持 146

9.5插件的安全规则 147

9.5.1 Adobe Flash 148

9.5.2 Microsoft Silverlight 151

9.5.3 Java 151

9.6如何处理格式含糊或意想不到的源信息 152

9.6.1 IP地址 153

9.6.2主机名里有额外的点号 153

9.6.3不完整的主机名 153

9.6.4本地文件 154

9.6.5伪URL 155

9.6.6浏览器扩展和用户界面 155

9.7源的其他应用 156

9.8安全工程速查表 157

第10章 源的继承 158

10.1 about：blank页面的源继承 158

10.2 data： URL的继承 160

10.3 javascript：和vbscript：URL对源的继承 162

10.4关于受限伪URL的一些补充 163

10.5安全工程速查表 164

第11章 同源策略之外的世界 165

11.1窗口和框架的交互 166

11.1.1改变现有页面的地址 166

11.1.2不请自来的框架 170

11.2跨域内容包含 172

11.3与隐私相关的副作用 175

11.4其他的同源漏洞和应用 177

11.5安全工程速查表 178

第12章 其他的安全边界 179

12.1跳转到敏感协议 179

12.2访问内部网络 180

12.3禁用的端口 182

12.4对第三方Cookie的限制 184

12.5安全工程速查表 186

第13章 内容识别机制 187

13.1文档类型检测的逻辑 188

13.1.1格式错误的MIMEType写法 189

13.1.2特殊的Content-Type值 189

13.1.3无法识别的ContentType类型 191

13.1.4防御性使用Content-Disposition 193

13.1.5子资源的内容设置 194

13.1.6文件下载和其他非HTTP内容 194

13.2字符集处理 196

13.2.1字节顺序标记 198

13.2.2字符集继承和覆盖 199

13.2.3通过HTML代码设置子资源字符集 199

13.2.4非HTTP文件的编码检测 201

13.3安全工程速查表 202

第14章 应对恶意脚本 203

14.1拒绝服务攻击 204

14.1.1执行时间和内存使用的限制 205

14.1.2连接限制 205

14.1.3过滤弹出窗口 206

14.1.4对话框的使用限制 208

14.2窗口定位和外观问题 209

14.3用户界面的时差攻击 211

14.4安全工程速查表 214

第15章 外围的网站特权 215

15.1浏览器和托管插件的站点权限 216

15.2表单密码管理 217

15.3 IE浏览器的区域模型 219

15.4安全工程速查表 222

第三部分 浏览器安全机制的未来趋势 224

第16章 新的浏览器安全特性与未来展望 224

16.1安全模型扩展框架 224

16.1.1跨域请求 225

16.1.2 XDomainRequest 228

16.1.3 Origin请求头的其他应用 229

16.2安全模型限制框架 230

16.2.1内容安全策略 230

16.2.2沙盒框架 234

16.2.3严格传输安全 236

16.2.4隐私浏览模式 237

16.3其他的一些进展 237

16.3.1浏览器内置的HTML净化器 238

16.3.2 XSS过滤 239

16.4安全工程速查表 240

第17章 其他值得注意的浏览器机制 241

17.1 URL级别和协议级别的提议 241

17.2内容相关的特性 243

17.3 I/O接口 245

第18章 常见的Web安全漏洞 246

18.1与Web应用相关的漏洞 246

18.2 Web应用设计时应谨记的问题 248

18.3服务器端的常见问题 250

后记 252

注释 254