The Tangle Web

"Thorough and comprehensive coverage from one of the foremost experts in browser security." —Tavis Ormandy, Google Inc. Modern web applications are built on a tangle of technologies that have been developed over time and then haphazardly pieced together. Every piece of the web application stack, from HTTP requests to browser-side scripts, comes with important yet subtle security consequences. To keep users safe, it is essential for developers to confidently navigate this landscape. In The Tangled Web, Michal Zalewski, one of the world's top browser security experts, offers a compelling narrative that explains exactly how browsers work and why they're fundamentally insecure. Rather than dispense simplistic advice on vulnerabilities, Zalewski examines the entire browser security model, revealing weak points and providing crucial information for shoring up web application security. You'll learn how to: Perform common but surprisingly complex tasks such as URL parsing and HTML sanitization Use modern security features like Strict Transport Security, Content Security Policy, and Cross-Origin Resource Sharing Leverage many variants of the same-origin policy to safely compartmentalize complex web applications and protect user credentials in case of XSS bugs Build mashups and embed gadgets without getting stung by the tricky frame navigation policy Embed or host user-supplied content without running into the trap of content sniffing For quick reference, "Security Engineering Cheat Sheets" at the end of each chapter offer ready solutions to problems you're most likely to encounter. With coverage extending as far as planned HTML5 features, The Tangled Web will help you create secure web applications that stand the test of time. 《The Tangled Web》是网络安全领域的一本重要著作，由著名的浏览器安全专家Michal Zalewski撰写。该书详细地介绍了现代网络应用程序所依赖的技术堆栈以及其安全影响，强调了开发者在构建安全的网络应用时必须掌握的知识。 书中提到现代网络应用是由一系列随时间发展并逐渐拼凑起来的技术构成的。这其中包括HTTP请求、浏览器端脚本等，它们各自都带有重要的安全后果。这要求开发者不仅要有编程技能，还要对网络安全有深入的了解，以便能够自信地在这复杂的环境中导航。 接着，作者详细探讨了浏览器的工作机制，以及为什么它们本质上是不安全的。浏览器作为用户与网络内容交互的接口，必须处理各种潜在的安全问题。Zalewski不是简单地列举漏洞，而是深入到浏览器安全模型中去，揭示了其中的薄弱环节，并提供了加固网络应用安全的关键信息。这包括了对浏览器安全特性的全面介绍，例如严格传输安全（Strict Transport Security）、内容安全策略（Content Security Policy）、跨源资源共享（Cross-Origin Resource Sharing）等。 浏览器的安全性很大程度上依赖于其安全策略的执行，例如同源策略（same-origin policy），它决定了脚本从不同源加载时可以进行的操作。Zalewski解释了如何利用同源策略的多种变体来安全地隔离复杂的网络应用，并在XSS（跨站脚本攻击）漏洞发生时保护用户凭证。 此外，《The Tangled Web》还介绍了如何在不影响用户体验和应用功能的前提下，安全地嵌入或托管用户提供的内容，并避免内容嗅探（content sniffing）等安全陷阱。这些内容对于开发者来说至关重要，因为它们常常会在开发过程中被忽视，而成为安全漏洞的源头。 为了方便快速查阅，书中每章末尾还提供了“安全工程速查表”（Security Engineering Cheat Sheets），其中罗列了开发者最可能遇到的问题的解决方案。通过这种方式，作者确保了读者能够在需要时迅速找到应对策略。 《The Tangled Web》还前瞻性地涵盖了计划中的HTML5功能，这意味着读者能够学习到最新的网络技术以及它们的安全挑战，从而在未来的网络应用开发中具有前瞻性。 本书的权威性和实用性得到了业界的高度认可，多位安全领域的专家都对其给予了高度评价。例如，Tavis Ormandy（谷歌安全专家）表示这本书提供了“全面详尽的覆盖，来自浏览器安全领域最重要的专家之一”。Collin Jackson（卡内基梅隆大学网络安全研究者）也认为这是任何关心自己在线安全和隐私的人必读的书。而Mark Dowd（Azimuth Security的作者和《软件安全评估之心》的作者）则认为这是迄今为止关于网络驱动技术安全状态最为详尽和有洞察力的论文，是必读之作。 Zalewski的解释清晰地显示出他在该领域的深厚知识，使得这本书不仅是信息安全专家的宝贵资源，也对初学者有着极大的帮助。计算机世界的评论员称赞了这本书细节丰富，令人印象深刻。而Linux User & Developer杂志则评价这本书脱颖而出，站在了其他安全相关书籍的肩上。 《The Tangled Web》由No Starch Press出版，是现代网络应用安全领域的指南。无论是对网络安全感兴趣的普通读者，还是需要构建安全网络应用的专业开发者，这本书都是不可多得的参考资料。它涵盖了网络应用开发的广泛主题，提供了丰富的实用信息和深入的技术洞察，有助于创建能够经受时间考验的安全网络应用。