图灵社区的电子书没有采用专有客 户端，您可以在任意设备上，用自 己喜欢的浏览器和PDF阅读器进行 阅读。 但您购买的电子书仅供您个人使用， 未经授权，不得进行传播。 我们愿意相信读者具有这样的良知 和觉悟，与我们共同保护知识产权。 如果购买者有侵权行为，我们可能 对该用户实施包括但不限于关闭该 帐号等维权措施，并可能追究法律 责任。 图灵程序设计丛书 Web 安全开发指南 Security for Web Developers [美]　John Paul Mueller　著 温正东　译 Beijing • Cambridge • Farnham • Köln • Sebastopol • Tokyo O’Reilly Media, Inc.授权人民邮电出版社出版 人民邮电出版社 北　　京 内 容 提 要 本书分为 5 大部分，共 17 章，详细介绍了 Web 安全开发的必备知识，旨在让前端开发人员、 设计师、产品经理等前端开发相关人士了解新形势下的安全技能，涉及从最新的智能手机到老 旧的台式计算机等各种设备，并且不限定平台。具体内容包括 ：制订安全计划，运用成功的编 码实践，创建有用及高效的测试策略，实现维护周期，查找安全资源。 本书适合所有 Web 开发领域的专业人士阅读。 ◆ 著　　　　[美] John Paul Mueller 译　　　　温正东 责任编辑　岳新欣 执行编辑　赵瑞琳 责任印制　彭志环 ◆ 人民邮电出版社出版发行　　北京市丰台区成寿寺路11号 邮编　100164　　电子邮件　315@ptpress.com.cn 网址　http://www.ptpress.com.cn 北京　　　　　　印刷 ◆ 开本：800×1000　1/16 印张：17 字数：402千字 印数：1 — 3 500册 著作权合同登记号 2017年 6 月第 1 版 2017年 6 月北京第 1 次印刷 图字：01-2017-7589号 定价：69.00元 读者服务热线：(010)51095186转600　印装质量热线：(010)81055316 反盗版热线：(010)81055315 广告经营许可证：京东工商广字第 8052 号 O’Reilly Media, Inc.介绍 O’Reilly Media 通过图书、杂志、在线服务、调查研究和会议等方式传播创新知识。 自 1978 年开始，O’Reilly 一直都是前沿发展的见证者和推动者。超级极客们正在开创 着未来，而我们关注真正重要的技术趋势——通过放大那些“细微的信号”来刺激社 会对新科技的应用。作为技术社区中活跃的参与者，O’Reilly 的发展充满了对创新的 倡导、创造和发扬光大。 O’Reilly 为软件开发人员带来革命性的“动物书”；创建第一个商业网站（GNN）；组 织了影响深远的开放源代码峰会，以至于开源软件运动以此命名；创立了 Make 杂志， 从而成为 DIY 革命的主要先锋；公司一如既往地通过多种形式缔结信息与人的纽带。 O’Reilly 的会议和峰会集聚了众多超级极客和高瞻远瞩的商业领袖，共同描绘出开创 新产业的革命性思想。作为技术人士获取信息的选择，O’Reilly 现在还将先锋专家的 知识传递给普通的计算机用户。无论是通过图书出版、在线服务或者面授课程，每一 项 O’Reilly 的产品都反映了公司不可动摇的理念——信息是激发创新的力量。 业界评论 “O’Reilly Radar 博客有口皆碑。” ——Wired “O’Reilly 凭借一系列（真希望当初我也想到了）非凡想法建立了数百万美元的业务。” ——Business 2.0 “O’Reilly Conference 是聚集关键思想领袖的绝对典范。” ——CRN “一本 O’Reilly 的书就代表一个有用、有前途、需要学习的主题。” ——Irish Times “Tim 是位特立独行的商人，他不光放眼于最长远、最广阔的视野，并且切实地按照 Yogi Berra 的建议去做了：‘如果你在路上遇到岔路口，走小路（岔路）。’回顾过去， Tim 似乎每一次都选择了小路，而且有几次都是一闪即逝的机会，尽管大路也不错。” ——Linux Journal 献给那些帮我恢复身体健康的医学专家——他们聆听了我的 疾苦并找到了解决方法。是的，我确实需要听从他们的建议。身 体健康是一件非常棒的礼物。 目录 前言......................................................................................................................................................... xv 第一部分　制订安全计划 第 1 章　定义应用环境 ....................................................................................................................... 2 1.1　明确 Web 应用威胁 ................................................................................................................... 3 1.2　理解软件安全保障 ..................................................................................................................... 6 1.2.1　考虑 OSSAP ................................................................................................................... 7 1.2.2　定义 SSA 的要求 ........................................................................................................... 8 1.2.3　对数据和资源分类 ........................................................................................................ 9 1.2.4　进行必要的分析 ............................................................................................................ 9 1.3　探究与语言相关的问题 ........................................................................................................... 12 1.3.1　定义 HTML 的关键问题 ............................................................................................. 12 1.3.2　定义 CSS 的关键问题 ................................................................................................. 13 1.3.3　定义 JavaScript 的关键问题 ........................................................................................ 13 1.4　考虑端点的防御要素 ............................................................................................................... 14 1.4.1　预防安全漏洞 .............................................................................................................. 14 1.4.2　检测安全漏洞 .............................................................................................................. 15 1.4.3　修复受损的软件 .......................................................................................................... 16 1.5　处理云存储 ............................................................................................................................... 16 1.6　使用外部代码和资源 ............................................................................................................... 17 1.6.1　定义库的使用 .............................................................................................................. 18 v 1.6.2　定义 API 的使用 .......................................................................................................... 19 1.6.3　定义微服务的使用 ............................