Web之困：現(xiàn)代Web應(yīng)用安全指南

譯者序
前　言
第1章　Web應(yīng)用安全 / 1
1.1　信息安全速覽 / 1
1.1.1　正統(tǒng)之道的尷尬  / 2
1.1.2　進(jìn)入風(fēng)險(xiǎn)管理 / 4
1.1.3　分類學(xué)的啟發(fā) / 5
1.1.4　實(shí)際的解決之道 / 6
1.2　Web的簡(jiǎn)明歷史 / 7
1.2.1　史前時(shí)期的故事： 1945～1994年 / 8
1.2.2　第一次瀏覽器大戰(zhàn)：1995～1999年 / 10
1.2.3　平淡期：2000～2003年 / 11
1.2.4　Web 2.0 和第二次瀏覽器大戰(zhàn)：2004年之后 / 12
1.3　風(fēng)險(xiǎn)的演化 / 13
1.3.1　用戶作為安全風(fēng)險(xiǎn)的一個(gè)環(huán)節(jié) / 14
1.3.2　難以隔離的Web運(yùn)行環(huán)境 / 14
1.3.3　缺乏統(tǒng)一的格局 / 15
1.3.4　跨瀏覽器交互：失敗的協(xié)同 / 16
1.3.5　客戶端和服務(wù)器端界限的日益模糊 / 17
第一部分　對(duì)Web的解剖分析
第2章　一切從URL開始 / 20
2.1　URL的結(jié)構(gòu) / 21
2.1.1　協(xié)議名稱 / 21
2.1.2　層級(jí)URL的標(biāo)記符號(hào) / 22
2.1.3　訪問資源的身份驗(yàn)證 / 22
2.1.4　服務(wù)器地址 / 23
2.1.5　服務(wù)器端口 / 24
2.1.6　層級(jí)的文件路徑 / 24
2.1.7　查詢字符串 / 25
2.1.8　片段ID / 25
2.1.9　把所有的東西整合起來 / 26
2.2　保留字符和百分號(hào)編碼 / 28
2.3　常見的 URL協(xié)議及功能 / 33
2.3.1　瀏覽器本身支持、與獲取文檔相關(guān)的協(xié)議 / 33
2.3.2　由第三方應(yīng)用和插件支持的協(xié)議 / 33
2.3.3　未封裝的偽協(xié)議 / 34
2.3.4　封裝過的偽協(xié)議  / 34
2.3.5　關(guān)于協(xié)議檢測(cè)部分的結(jié)語  / 35
2.4　相對(duì)URL的解析 / 35
2.5　安全工程速查表 / 37
第3章　HTTP協(xié)議 / 38
3.1　HTTP 基本語法 / 39
3.1.1　支持HTTP/0.9的惡果 / 40
3.1.2　換行處理帶來的各種混亂 / 41
3.1.3　經(jīng)過代理的HTTP請(qǐng)求 / 42
3.1.4　對(duì)重復(fù)或有沖突的頭域的解析 / 44
3.1.5　以分號(hào)作分隔符的頭域值 / 45
3.1.6　頭域里的字符集和編碼策略 / 46
3.1.7　Referer頭域的表現(xiàn) / 48
3.2　HTTP 請(qǐng)求類型 / 48
3.2.1　GET / 49
3.2.2　POST / 49
3.2.3　HEAD / 49
3.2.4　OPTIONS / 50
3.2.5　PUT / 50
3.2.6　DELETE / 50
3.2.7　TRACE / 50
3.2.8　CONNECT / 50
3.2.9　其他 HTTP 方法 / 51
3.3　服務(wù)器響應(yīng)代碼 / 51
3.4　持續(xù)會(huì)話  / 53
3.5　分段數(shù)據(jù)傳輸 / 55
3.6　緩存機(jī)制 / 55
3.7　HTTP Cookie 語義 / 57
3.8　HTTP 認(rèn)證 / 60
3.9　協(xié)議級(jí)別的加密和客戶端證書 / 61
3.9.1　擴(kuò)展驗(yàn)證型證書 / 62
3.9.2　出錯(cuò)處理的規(guī)則  / 63
3.10　安全工程速查表 / 64
第4章　HTML語言 / 65
4.1　HTML文檔背后的基本概念 / 66
4.1.1　文檔解析模式 / 67
4.1.2　語義之爭(zhēng) / 68
4.2　理解HTML解析器的行為 / 69
4.2.1　多重標(biāo)簽之間的交互 / 70
4.2.2　顯式和隱式的條件判斷 / 71
4.2.3　HTML解析的生存建議 / 71
4.3　HTML實(shí)體編碼 / 72
4.4　HTTP/HTML 交互語義 / 73
4.5　超鏈接和內(nèi)容包含 / 75
4.5.1　單純的鏈接 / 75
4.5.2　表單和表單觸發(fā)的請(qǐng)求 / 75
4.5.3　框架 / 77
4.5.4　特定類型的內(nèi)容包含 / 78
4.5.5　關(guān)于跨站請(qǐng)求偽造 / 80
4.6　安全工程速查表 / 81
第5章　層疊樣式表 / 83
5.1　CSS基本語法 / 84
5.1.1　屬性定義 / 85
5.1.2　@ 指令和XBL綁定 / 85
5.1.3　與HTML的交互 / 86
5.2　重新同步的風(fēng)險(xiǎn) / 86
5.3　字符編碼 / 87
5.4　安全工程速查表 / 89
第6章　瀏覽器端腳本 / 90
6.1　JavaScript的基本特點(diǎn) / 91
6.1.1　腳本處理模型 / 92
6.1.2　執(zhí)行順序的控制 / 95
6.1.3　代碼和對(duì)象檢視功能 / 96
6.1.4　修改運(yùn)行環(huán)境 / 97
6.1.5　JavaScript 對(duì)象表示法（JSON）和其他數(shù)據(jù)序列化 / 99
6.1.6　E4X和其他語法擴(kuò)展 / 101
6.2　標(biāo)準(zhǔn)對(duì)象層級(jí)  / 102
6.2.1　文檔對(duì)象模型  / 104
6.2.2　對(duì)其他文檔的訪問  / 106
6.3　腳本字符編碼  / 107
6.4　代碼包含模式和嵌入風(fēng)險(xiǎn)  / 108
6.5　活死人：Visual Basic  / 109
6.6　安全工程速查表 / 110
第7章　非HTML類型文檔 / 112
7.1　純文本文件 / 112
7.2　位圖圖片 / 113
7.3　音頻與視頻 / 114
7.4　各種XML文件  / 114
7.4.1　常規(guī)XML視圖效果 / 115
7.4.2　可縮放向量圖片 / 116
7.4.3　數(shù)學(xué)標(biāo)記語言  / 117
7.4.4　XML用戶界面語言 / 117
7.4.5　無線標(biāo)記語言  / 118
7.4.6　RSS 和 Atom訂閱源 / 118
7.5　關(guān)于不可顯示的文件類型 / 119
7.6　安全工程速查表 / 120
第8章　瀏覽器插件產(chǎn)生的內(nèi)容 / 121
8.1　對(duì)插件的調(diào)用 / 122
8.2　文檔顯示幫助程序 / 124
8.3　插件的各種應(yīng)用框架  / 125
8.3.1　Adobe Flash / 126
8.3.2　Microsoft Silverlight  / 128
8.3.3　Sun Java / 129
8.3.4　XML Browser Applications / 129
8.4　ActiveX Controls  / 130
8.5　其他插件的情況 / 131
8.6　安全工程速查表 / 132
第二部分　瀏覽器安全特性
第9章　內(nèi)容隔離邏輯 / 134
9.1　DOM的同源策略 / 135
9.1.1　document.domain / 136
9.1.2　postMessage(...)  / 137
9.1.3　與瀏覽器身份驗(yàn)證的交互 / 138
9.2　XMLHttpRequest的同源策略 / 139
9.3　Web Storage 的同源策略 / 141
9.4　Cookies 的安全策略 / 142
9.4.1　Cookie對(duì)同源策略的影響 / 144
9.4.2　域名限制帶來的問題 / 145
9.4.3　localhost帶來的非一般風(fēng)險(xiǎn) / 145
9.4.4　Cookie與“合法”DNS劫持 / 146
9.5　插件的安全規(guī)則  / 147
9.5.1　Adobe Flash  / 148
9.5.2　Microsoft Silverlight  / 151
9.5.3　Java / 151
9.6　如何處理格式含糊或意想不到的源信息 / 152
9.6.1　IP 地址 / 153
9.6.2　主機(jī)名里有額外的點(diǎn)號(hào) / 153
9.6.3　不完整的主機(jī)名 / 153
9.6.4　本地文件 / 154
9.6.5　偽URL  / 155
9.6.6　瀏覽器擴(kuò)展和用戶界面 / 155
9.7　源的其他應(yīng)用 / 156
9.8　安全工程速查表 / 157
第10章　源的繼承 / 158
10.1　about:blank頁面的源繼承 / 158
10.2　data: URL的繼承 / 160
10.3　javascript:和vbscript: URL對(duì)源的繼承 / 162
10.4　關(guān)于受限偽URL的一些補(bǔ)充 / 163
10.5　安全工程速查表 / 164
第11章　同源策略之外的世界 / 165
11.1　窗口和框架的交互 / 166
11.1.1　改變現(xiàn)有頁面的地址  / 166
11.1.2　不請(qǐng)自來的框架 / 170
11.2　跨域內(nèi)容包含 / 172
11.3　與隱私相關(guān)的副作用  / 175
11.4　其他的同源漏洞和應(yīng)用  / 177
11.5　安全工程速查表 / 178
第12章　其他的安全邊界 / 179
12.1　跳轉(zhuǎn)到敏感協(xié)議 / 179
12.2　訪問內(nèi)部網(wǎng)絡(luò) / 180
12.3　禁用的端口 / 182
12.4　對(duì)第三方Cookie的限制  / 184
12.5　安全工程速查表 / 186
第13章　內(nèi)容識(shí)別機(jī)制 / 187
13.1　文檔類型檢測(cè)的邏輯 / 188
13.1.1　格式錯(cuò)誤的MIME Type寫法 / 189
13.1.2　特殊的 Content-Type 值 / 189
13.1.3　無法識(shí)別的Content Type類型 / 191
13.1.4　防御性使用Content-Disposition / 193
13.1.5　子資源的內(nèi)容設(shè)置 / 194
13.1.6　文件下載和其他非HTTP內(nèi)容  / 194
13.2　字符集處理 / 196
13.2.1　字節(jié)順序標(biāo)記 / 198
13.2.2　字符集繼承和覆蓋 / 199
13.2.3　通過HTML代碼設(shè)置子資源字符集 / 199
13.2.4　非HTTP 文件的編碼檢測(cè) / 201
13.3　安全工程速查表 / 202
第14章　應(yīng)對(duì)惡意腳本 / 203
14.1　拒絕服務(wù)攻擊 / 204
14.1.1　執(zhí)行時(shí)間和內(nèi)存使用的限制 / 205
14.1.2　連接限制 / 205
14.1.3　過濾彈出窗口 / 206
14.1.4　對(duì)話框的使用限制 / 208
14.2　窗口定位和外觀問題  / 209
14.3　用戶界面的時(shí)差攻擊 / 211
14.4　安全工程速查表 / 214
第15章　外圍的網(wǎng)站特權(quán) / 215
15.1　瀏覽器和托管插件的站點(diǎn)權(quán)限 / 216
15.2　表單密碼管理 / 217
15.3　IE瀏覽器的區(qū)域模型 / 219
15.4　安全工程速查表 / 222
第三部分　瀏覽器安全機(jī)制的未來趨勢(shì)
第16章　新的瀏覽器安全特性與未來展望 / 224
16.1　安全模型擴(kuò)展框架 / 224
16.1.1　跨域請(qǐng)求 / 225
16.1.2　XDomainRequest  / 228
16.1.3　Origin 請(qǐng)求頭的其他應(yīng)用 / 229
16.2　安全模型限制框架 / 230
16.2.1　內(nèi)容安全策略 / 230
16.2.2　沙盒框架  / 234
16.2.3　嚴(yán)格傳輸安全 / 236
16.2.4　隱私瀏覽模式  / 237
16.3　其他的一些進(jìn)展 / 237
16.3.1　瀏覽器內(nèi)置的 HTML凈化器 / 238
16.3.2　XSS 過濾 / 239
16.4　安全工程速查表 / 240
第17章　其他值得注意的瀏覽器機(jī)制 / 241
17.1　URL級(jí)別和協(xié)議級(jí)別的提議 / 241
17.2　內(nèi)容相關(guān)的特性  / 243
17.3　I/O接口 / 245
第18章　常見的Web安全漏洞 / 246
18.1　與Web應(yīng)用相關(guān)的漏洞 / 246
18.2　Web應(yīng)用設(shè)計(jì)時(shí)應(yīng)謹(jǐn)記的問題 / 248
18.3　服務(wù)器端的常見問題 / 250
后記 / 252
注釋 / 254