序2

網絡安全永遠伴隨著業務的變化而變化。十幾年前，互聯網的興起把Web服務推到了浪潮之巔。從此步入Web1.0時代，伴隨Web業務而來的Web安全也逐漸興起，Web1.0時代的安全主要體現在服務端動態腳本及Web服務器的安全問題上。到了2004年，Web2.0的誕生標志著又一次互聯網革命到來！而這個時候的Web安全隨著2005年由當時年僅19歲的天才Samy Kamkar在MySpace上爆發了歷史上第一個XSS Worm震驚了整個世界，由此也宣告Web安全正式步入Web2.0時代。這個時代的安全關注點已經由服務端全面轉向了客戶（前）端，瀏覽器替換Web服務器成為安全戰爭的主要戰場，而前端常用的HTML、JavaScript、CSS、Flash 等則成為安全戰場的有力武器，瀏覽器掛馬、XSS、CSRF、ClickJacking 等成了主流的攻擊手段。有攻擊就有防御，面對 Web2.0時代的安全問題，Web1.0時代的防御體系顯得力不從心，很多安全從業者們都在思考和嘗試新的防御手段，一場基于前端黑客攻防戰就此拉開序幕……

作為一名資深的“腳本小子”，我有幸經歷了Web安全由Web1.0向Web2.0轉變的整個過程，也目睹了很多致力于 Web2.0安全技術研究的公司誕生及發展的過程，并結識了一大群優秀的Web安全研究者，其中就有本書的兩位作者：鐘晨鳴先生和徐少培先生。

認識鐘晨鳴先生緣于他所在的北京知道創宇信息技術有限公司。該公司于2007年成立，是國內最早關注Web2.0時代安全防御的公司之一，并在Web2.0安全防御領域里取得了巨大的成績。而鐘晨鳴先生早在2008年就加入了該公司，并積極加入到Web2.0的各種攻防技術研究中，后來逐步成為公司技術的中流砥柱。也是在這些官方對抗的實戰中，成就了他對Web2.0時代安全技術的獨特認識，并逐步完善了自己的技術體系。

而徐少培先生所在的北京天融信科技有限公司，是一家經歷了Web1.0時代的傳統的信息安全公司，隨著Web2.0時代的安全挑戰，也使他們的研究人員投身于這個領域，由此培養了一大批技術精湛的安全研究者。徐少培先生就是其中之一，他對Web2.0安全技術有著深入的研究，尤其是在HTML5的安全領域，他一直處于領先的地位。

如果說技術積累是本書誕生的“硬件”基礎，那么樂于分享的精神就是本書誕生的必要的“軟件”基礎。有幸的是，鐘晨鳴先生和徐少培先生都具有這樣的分享精神，他們一直在通過Blog及參加各種技術峰會等不斷分享著他們的研究成果。

所以，本書的誕生是他們對技術研究的總結及樂于分享精神的結合的成果。而我有幸成了該書的第一位讀者，接到這本書的時候，我很驚訝，因為寫書在我看來是一件很“痛苦”的事情。另外，對于Web2.0安全技術題材的書，在中國圖書市場上是不多見的，純技術分享的書籍更是寥寥無幾，而他們的嘗試顯然是成功的！

本書是一本純技術的關于Web2.0時代安全的專業書籍，從瀏覽器戰場到前端的各種武器及攻擊手段，再轉到防御技術，都做了專業詳細的展示。最后，我要說的只有一句話：本書值得您期待！

superhei

2012年10月18日