一、為何要了解Web安全

　　最近加入新公司後，公司的官網突然被Google標記為了不安全的詐騙網站，一時間我們資訊科技部門成為了眾矢之的，雖然老官網並不是我們開發的（因為開發老官網的前輩們全都跑路了）。我們花了很多時間做Web安全掃描以及修復，在檢查和修復過程中，發現老系統的程式碼的不可維護性（再次說明整潔程式碼之道Clean Code的重要性）及安全性（同時也說明了Web安全的重要性）。

　　修復之後，向Google提出了申訴，漫長的等待（1~2天對於公司的官網來說就是Money啊！）後Google放開了。當我們慶幸終於把該死的老官網的安全問題解決了的時候，過了幾天後又被Google加入黑名單了，WTF！於是，再次安全掃描，排除一切可能的原因，做好備用方案，再次進入安全修復迭代...

　　對於我們來說，這次的經驗讓我意識到，不遵守整潔程式碼之道和安全系統之道的系統就像一顆定時炸彈，你不知道它什麼時候就會爆炸又或者是虛晃一槍，又讓我想起整潔程式碼之道一書的封面：

　　上面這張圖是M104：草帽星系，其核心是一個質量超大的黑洞，有100萬個太陽那麼重，環繞著M104的光環就像一頂墨西哥草帽，彷彿經歷了大爆炸之後碎片四濺的產物。聯絡到我們所經歷過的沒由整潔程式碼風格各異不可維護的軟體專案，其實當你接手時之前的程式碼都是一個個的黑洞，存在著某天會定時爆發的風險，而當它真正爆發時，接手這個專案的所有人又或者沒有接手過的人都會因此遭殃。

　　因此，作為一名Web系統開發者，不但要追求整潔程式碼，也要了解Web安全知識。目前系統講解Web安全的書籍裡，阿里巴巴高階技術專家吳翰清的這本《白帽子講Web安全》是評分較高的一本（豆瓣評分7.4），雖然現在看來有點過時（很多的漏洞案例都早已被修復），但是基礎的知識點都有覆蓋，是建立安全思維的好書！此外，它對於安全開發流程與運營的介紹，同樣具有深刻的行業指導意義。所以，我快速地學習了一遍，做了一些筆記與各位分享。

二、精華內容導圖筆記

完整的筆記導圖線上瀏覽地址：https://www.processon.com/view/5c11e98ae4b0ed122da3f749，下面為了閱讀體驗，分成3個部分來顯示。

2.1 客戶端指令碼安全

2.2 服務端應用安全

2.3 安全運營體系建設

三、一些參考資料

　　吳翰清，《白帽子講Web安全》

　　同時，在學習《白帽子講Web安全》的同時參考了以下資料，覺得不錯作為推薦：

　　（1）很好玩的部落格，《XSS攻擊原理及防禦措施》

　　（2）很好玩的部落格，《CSRF攻擊原理及防禦措施》

　　（3）海角在眼前，《前後端安全系列博文

　　（4）張善友，《保護ASP.NET應用免受CSRF攻擊》

作者：周旭龍

出處：http://edisonchou.cnblogs.com

本文版權歸作者和部落格園共有，歡迎轉載，但未經作者同意必須保留此段宣告，且在文章頁面明顯位置給出原文連結。