关于CSP:
CSP策略使得Web前端更有序,从而更安全,这是一个好趋势,W3C已经在大力推进这样的策略:http://www.w3.org/TR/CSP/。Firefox与Chrome已经开始支持,IE 10也会开始支持。

今晚我们讨论这个时,sogl发起的这些讨论:
http://zone.wooyun.org/content/1310

CSP策略在《Web前端黑客技术揭秘》中最后一章的“迟到的CSP策略”小节有详细描述,这里不多说了,跨站师需要关注关注CSP的动态:)

你们认为呢?
Continue reading

非常好,基本上是在12月可以上市发行,书名敲定《Web前端黑客技术揭秘》,不过还是简称为“Web前端黑客”吧,提交出版社后,轻松了很多,2个序、4个书评都提交了(这些来自圈内各位大牛),后续时间就是让这本书诞生!

本书两个作者,我和heart,我主写近80%的内容,所以我这次有吐血的感觉,基本没保留地将自己这些年的经验与积累放出来了,不过实话是:保留是有的,因为有些根本是写不出来的……也许和我内心一种抵触有关系,因为我觉得:这仅是一本书而已。

这本书是国内第一本专注Web前端安全攻防类的书籍,基本不照顾初学者,然后对于那些有前端能力的人,稍微有些安全见识的,也是能上手的,我觉得搞前端搞到变态的人更应该,更应该换个口味,从真正黑客的视角去看看前端的安全问题。而那些还徘徊在弹个框的新生代力量更需要上一个大台阶。对于已经站在大台阶上的牛人们,也可以看看,会有很多灵感碰撞的。

这本书不会让大家失望,如果意犹未尽欢迎到时候联系我,比如微博@evilcos。

从这篇文章开始,我和另一位作者heart会在本书上市前不断八卦我们的内容,别急。