0.前言

一晃5个多月没有写过东西了，时间过得很快，到了2014年的年底，趁着还没变成2015把最近看完的这本书的笔记发出来。自从工作后留给自己的空闲时间不那么多了，看的书也变少了，这本本来预计10月份看完的书一直拖到上周日才看完。近期如果有时间的话，可能会把最近遇到的一些坑或者写过的一些东西整理整理发出来。

1.书籍信息

书名：The Tangled Web – A Guide to Securing Modern Web Applications
译名：Web之困：现代Web应用安全指南
作者：Michal Zalewski
译者：朱筱丹
出版社：机械工业出版社
ISBN：978-7-111-43946-2
页数：280

2.纸张、印刷与排版

16开本，纸张较厚，行、段间距合适，字体偏小。

3.勘误

本书译者勘误页：http://book.douban.com/review/6349857/
个人总结勘误：Web之困_机械工业_1版1印_勘误（或在这里下载）

4.笔记与评价

阅读级别：细读。
推荐级别：细读，重复阅读。

《Web之困》这本书与常见的安全类书籍不同，并不是按照漏洞分类（如SQL注入、XSS、CSRF）安排章节，也不会告诉你Metasploit、nmap之类的安全软件或系统如何使用，而是从更加有深度的底层切入，向读者展现一幅以往极少会去了解但又十分重要的细节，并构建了一套非常完整的Web安全图景。

本书的第一部分，讨论了很多和RFC协议规范相关的细节，并解析其中潜伏的漏洞。一上来就从地址栏入手，对URL、HTTP协议进行了分析；然后又着手于页面展现，分析了HTML语言、CSS、脚本、非HTML文档和插件。

第二部分则更多的偏向于从同源入手，讲解那些由于各浏览器的混战而潜伏下来的问题。此外，还对内容识别机制、应对恶意脚本、外围网站特权等浏览器安全特性进行了讲解。

第三部分是对当前及未来一段时间内浏览器安全特性的发展趋势进行的展望。

尽管本书正文只有250页，但却包罗万象，想要很快阅读完并能很好的理解并不容易。这本书断断续续看了3个月，还只是限于书中的内容（也未能完全理解），而没有更深入的了解references中的文献。也许一段时间之后，还会再来读读这本书。

本书每章最后的《安全工程速查表》非常赞。

本书的译者很认真，还专门发布了一个帖子来跟进勘误。本书的文字偏多，且很多知识点讲解起来会很拗口，而书中时而出现的语气词能够让读者在茫茫文字中稍事休息。

总的说来，这是一本不看会后悔的书。

5.思维导图

1.Web应用安全

2.一切从URL开始

3.HTTP协议

4.HTML语言

5.层叠样式表

6.浏览器端脚本

7.非HTML类型文档

8.浏览器插件产生的内容

9.内容隔离逻辑

10.源的继承

11.同源策略之外的世界

12.其他的安全边界

13.内容识别机制

14.应对恶意脚本

15.外围的网站特权

16.新的浏览器安全特性与未来展望

17.其他值得注意的浏览器机制

18.常见的Web安全漏洞

思维导图下载：
xmind版
百度云网盘（图片版）