Jesse James Garrett——Adaptive PATH公司主席及创始人。
　　Billy Hoffman是惠普安全实验室的首席安全研究员，专注于如何自动发掘Web应用程序中的漏洞。他经常在Black Hat、RSA、Toorcon、Shmoocon、Infosec及AJAXWorld等会议上发表演讲，也曾受到过FBI的邀请进行演讲。

　　一本防范AJAX安全漏洞的实用指南。
　　如今，越来越多的网站都被改写成AJAX应用程序，甚至传统的桌面软件也通过AJAX，迅速转向了Web领域。但是在这个过程中，人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了AJAX应用程序，那么它们会比传统桌面程序存在更多的安全漏洞。AJAX开发人员无时无刻都希望有一本指南，能够指导他们如何来保护自己的应用程序——他们终于等到了这一天。
　　《AJAX安全技术》—书，系统地分析了当今最危险的AJAX漏洞用现实中的代码阐述了大量关键性的安全理念，并对实际中的案例，例如MySpace的Samy蠕虫病毒，进行了详尽分析。更重要的是，不管你使用何种主流的Web编程语言和环境，例如
　　.NET、Java或PHP，本书都给出了许多具体、前沿的建议。通过本书你将了解到以下几点：
　　如何刚氐AJAX特有的安全风险，包}舌过度细分的Web服务、应用程序控制流程篡改以及对程序逻辑的操控。
　　如何预防针对AJAX的攻击手段，包括JavaScript劫持、持久化存储窃取以及对mashup程序的渗透。
　　如何避免基于XSS和SQL注入的攻击，包括由AJAX衍生出来的SQL注入攻击（只需要两次请求就可以暴露整个后台数据库）。
　　如何使用Google Gears和Doj0开发安全的离线AJAX应用程序。
　　如何发现Prototype、DWR及ASRNET AJAX等AJAX框架中的安全问题以及我们自己仍需实现哪些功能。
　　如何更安全地编写AJAX代码，如何确定并修改已有代码中的安全缺陷。
　　不管是编写或者维护AJAX应用程序的开发人员、架构师，还是打算或正在设计新AJAX程序的项目经理，以及包括QA和渗透测试人员在内的所有软件安全人士，（AJAX安全技术》—书都是必不可少的。

　　第1章 AJAX安全介绍
　　1.1 AJAx基础知识
　　1.1.1 什么是AJAX
　　通常来说，浏览器为了动态显示Web页面，会把整个页面通过一个请求发送给服务器。服务端应用程序接收到响应后，会创建该页面的HTML代码，并返回给浏览器。浏览器会丢弃掉当前的页面，并显示新的HTML页面。这样，用户才能够在浏览器中看见新的页面，并与其进行交互。
　　虽然这个过程十分简单，但是却非常浪费资源。通常，服务端为客户端生成的新页面几乎与被其丢弃的当前页面一样。在网络中传输的整个页面占据了大量的带宽，而这根本就是毫无必要的。同时，在请求处理的过程中，用户也无法再使用应用程序，他们不得不等着服务端返回响应信息。当服务端最终将响应信息返回给浏览器时，浏览器在重新加载页面的同时，还不得不闪烁一下。
　　如果Web客户端只需要请求页面中的一小部分，而不是向服务端发送整个页面的请求，那么对各个方面都会带来益处。服务端可以更快速地处理请求，并且发送响应信息时会占用更少的带宽。同时，客户端由于请求的整体时间变短，不仅可以为用户提供交互性更好的界面，也可以消除由重新加载整个页面而导致的闪烁。
　　应该说，AJAx是为了解决该问题而产生的众多技术的融合，它使得Web应用程序的客户端可以不断地从Web服务端更新部分页面。而用户也不必再提交表单，或者离开当前的页面。客户端的脚本代码（通常都是JavaScript）可以向页面的部分片段（Fragment）发起异步的，或者非阻塞（Non-blocking）的请求。这些片段可以是一些原始的数据，在客户端再被转换成HTML代码；也可以本身就是HTML代码，直接被插入到浏览器的文档（Document）对象中。不管怎样，在服务端完成对请求的处理，并将响应片段返回给客户端浏览器之后，客户端的脚本代码都会使用这些数据来修改页面中的文档对象模型（Document Object Model，DOM）。

第1章 AJAX安全介绍1
1.1 AJAX基础知识2
1.1.1 什么是AJAX2
1.1.2 动态HTML（DHTML）10
1.2 AJAX架构（Architecture）的转变过程11
1.2.1 胖客户端架构11
1.2.2 瘦客户端架构12
1.2.3 AJAX：最适合的架构14
1.2.4 从安全角度看胖客户端应用程序15
1.2.5 从安全角度看瘦客户端应用程序15
1.2.6 从安全角度看AJAX架构17
1.3 一场完美的攻击风暴17
1.3.1 不断增加的复杂度、透明度及代码量18
1.3.2 社会学问题20
1.3.3 AJAX应用程序：富有吸引力的、战略上的目标21
1.4 本章小结22

第2章 劫持23
2.1 攻击HighTechVactions.net24
2.1.1 攻击票务系统24
2.1.2 攻击客户端数据绑定30
2.1.3 攻击AJAXAPI34
2.2 黑夜中的盗窃39

第3章 Web攻击41
3.1 基本攻击分类41
3.1.1 资源枚举41
3.1.2 参数操纵45
3.2 其他攻击66
3.2.1 跨站请求伪造攻击66
3.2.2 钓鱼攻击68
3.2.3 拒绝服务（Denial-of-Service，DoS）68
3.3 保护Web应用程序免受资源枚举和参数操作的攻击69
3.4 本章小结70

第4章 AJAX攻击层面71
4.1 什么是攻击层面71
4.2 传统Web应用程序的攻击层面72
4.2.1 表单输入73
4.2.2 cookie74
4.2.3 报头75
4.2.4 隐藏的表单输入75
4.2.5 请求参数76
4.2.6 上传文件78
4.3 传统的Web应用程序攻击：一份成绩单79
4.4 Web服务的攻击层面81
4.4.1 Web服务的方法81
4.4.2 Web服务的定义82
4.5 AJAX应用程序的攻击层面83
4.5.1 AJAX应用程序攻击层面的来源84
4.5.2 黑客的最爱86
4.6 正确的输入验证86
4.6.1 有关黑名单及其他补丁的问题87
4.6.2 治标不治本90
4.6.3 白名单输入验证93
4.6.4 正则表达式96
4.6.5 关于输入验证的其他想法96
4.7 验证富客户端的用户输入98
4.7.1 验证标记语言98
4.7.2 验证二进制文件100
4.7.3 验证JavaScript源代码100
4.7.4 验证序列化数据106
4.8 关于由用户提供的内容109
4.9 本章小结110

第5章 AJAX代码的复杂性111
5.1 多种语言和架构111
5.1.1 数组索引112
5.1.2 字符串操作113
5.1.3 代码注释115
5.1.4 事不关己，高高挂起115
5.2 JavaScript的怪异之处117
5.2.1 解释，而不是编译117
5.2.2 弱类型118
5.3 异步性120
5.3.1 竞争条件120
5.3.2 死锁及哲学家用餐问题124
5.3.3 客户端同步化127
5.3.4 留意你所采纳的建议128
5.4 本章小结129

第6章 AJAX应用程序的透明度131
6.1 黑盒对白盒131
6.1.1 示例：mylocalweatherforecast.com133
6.1.2 示例：用AJAX实现的mylocalweatherforecast.com135
6.1.3 对比结果139
6.2 像API一样的Web应用程序140
6.3 一些特殊的安全错误141
6.3.1 不恰当的身份认证141
6.3.2 过度细化服务端API143
6.3.3 在JavaScript中存储会话状态146
6.3.4 与用户相关的敏感数据147
6.3.5 包含在客户端的注释及文档148
6.3.6 在客户端进行的数据转换149
6.4 通过隐藏来保证安全152
6.5 本章小结154

第7章 劫持AJAX应用程序155
7.1 劫持AJAX框架155
7.1.1 意外的方法冲突156
7.1.2 人为的方法冲突158
7.2 劫持“即时”的AJAX163
7.3 劫持JSONAPI167
7.3.1 劫持对象定义172
7.3.2 JSON劫持的根源173
7.3.3 如何防范JSON劫持173
7.4 本章小结176

第8章 攻击客户端存储179
8.1 客户端存储系统概述179
8.2 HTTPcookies181
8.2.1 cookie访问控制规则183
8.2.2 HTTPcookie的存储能力188
8.2.3 cookie的生命期191
8.2.4 cookie存储的其他安全问题192
8.2.5 cookie存储总结193
8.3 Flash本地共享对象194
8.4 DOM存储201
8.4.1 会话存储202
8.4.2 全局存储204
8.4.3 DOM存储的细节讨论205
8.4.4 DOM存储安全207
8.4.5 DOM存储总结208
8.5 InternetExploreruserData209
8.6 一般客户端存储的攻击和防范方法214
8.6.1 跨域攻击214
8.6.2 跨目录攻击215
8.6.3 跨端口攻击216
8.7 本章小结216

第9章 离线AJAX应用程序219
9.1 离线AJAX应用程序219
9.2 GoogleGears220
9.2.1 GoogleGears内置的安全特性及其缺点221
9.2.2 探索工作者池224
9.2.3 泄露并篡改本地服务器（LocalServer）中的数据226
9.2.4 直接访问GoogleGears数据库229
9.2.5 SQL注入和GoogleGears230
9.2.6 客户端SQL注入有多危险234
9.3 Dojo.Offline236
9.3.1 保证密钥安全237
9.3.2 保证数据安全238
9.3.3 可作为密钥的良好密码239
9.4 再论客户端输入验证240
9.5 创建离线应用程序的其他方式241
9.6 本章小结242

第10章 请求来源问题243
10.1 Robots、Spiders、Browsers及其他网络爬虫243
10.2 请求来源不确定性和JavaScript245
10.2.1 从Web服务器的角度看AJAX请求246
10.2.2 是你自己，还是貌似你的某人249
10.2.3 使用JavaScript发送HTTP请求251
10.2.4 在AJAX出现之前的JavaScriptHTTP攻击252
10.2.5 通过XMLHttpRequest窃取其他内容254
10.2.6 实战结合XSS/XHR进行攻击258
10.3 防范措施260
10.4 本章小结261

第11章 WebMashup和聚合程序263
11.1 互联网上计算机可以使用的数据263
11.1.1 20世纪90年代早期：人类Web的黎明263
11.1.2 20世纪90年代中期：机器Web的诞生264
11.1.3 2000年左右：机器Web逐渐成熟266
11.1.4 可公用的Web服务266
11.2 Mashup：Web中的弗兰肯斯坦268
11.2.1 ChicagoCrime.org269
11.2.2 HousingMaps.com270
11.2.3 其他的Mashup应用程序270
11.3 创建Mashup应用程序271
11.4 桥接、代理及网关274
11.5 攻击AJAX代理275
11.6 Mashup程序中的输入验证279
11.7 聚合网站282
11.8 安全性和可信度的降低287
11.9 本章小结290

第12章 攻击表现层291
12.1 从内容信息中分离表现信息291
12.2 攻击表现层294
12.3 对级联样式表的数据挖掘295
12.4 外观篡改297
12.5 嵌入程序逻辑305
12.6 目标级联样式表306
12.7 防范表现层攻击311
12.8 本章小结312

第13章 JavaScript蠕虫313
13.1 JavaScript蠕虫概述313
13.1.1 传统的计算机病毒314
13.1.2 JavaScript蠕虫316
13.2 创建JavaScript蠕虫318
13.2.1 JavaScript的局限性319
13.2.2 传播JavaScript蠕虫320
13.2.3 JavaScript蠕虫携带的恶意代码320
13.2.4 JavaScript中的信息窃取321
13.3 关于内网322
13.3.1 窃取浏览器历史记录326
13.3.2 窃取搜索引擎的查询结果327
13.3.3 总结328
13.4 案例学习：Samy蠕虫329
13.4.1 工作原理330
13.4.2 病毒携带的程序333
13.4.3 关于Samy蠕虫的结论334
13.5 案例学习：Yamanner蠕虫（JS/Yamanner-A）336
13.5.1 工作原理337
13.5.2 病毒携带的程序339
13.5.3 关于Yamanner蠕虫的结论340
13.6 从实际JavaScript蠕虫中能学到的经验342
13.7 本章小结343

第14章 测试AJAX应用程序345
14.1 黑魔法345
14.2 并不是所有人都使用浏览器来查看网页349
14.3 两手都要抓，两手都要硬351
14.4 安全测试工具352
14.4.1 生成网站目录353
14.4.2 漏洞检测354
14.4.3 分析工具：Sprajax356
14.4.4 分析工具：ParosProxy357
14.4.5 分析工具：LAPSE（Eclipse中轻量级的程序安全分析工具）359
14.4.6 分析工具：WebInspectTM360
14.5 其他一些关于安全测试的想法361

第15章 AJAX框架分析363
15.1 ASP.NET363
15.1.1 ASP.NETAJAX（以前被称为Atlas）363
15.1.2 ScriptService367
15.1.3 安全缺点：UpdatePanel对ScriptService368
15.1.4 ASP.NET和WSDL369
15.1.5 ValidateRequest373
15.1.6 ViewStateUserKey374
15.1.7 ASP.NET配置和调试375
15.2 PHP376
15.2.1 Sajax376
15.2.2 Sajax和跨站请求伪造378
15.3 JavaEE380
15.4 JavaScript框架382
15.4.1 对客户端代码的一个警告383
15.4.2 Prototype383
15.5 本章小结385
附录A Samy蠕虫源代码387
附录B Yamanner蠕虫源代码397