推荐序

网络安全如今似乎进入到了一个非常混乱的状态：层出不穷的安全漏洞、不间断的安全事件，似乎所有东西都能入侵控制的攻击演示。这些让人们变得十分麻木，同时网络安全工作者也十分困惑：究竟怎样才能改善网络安全状况呢？

尽量跳出具体的漏洞或者事件，从更全面的视角来看问题；尽量越过令人眼花缭乱的表象，把握事物更深层次的本质，从更基础的角度来设法解决问题——这应该是让我们摆脱被动的一个方向。而这本书就是试图从这样的角度给读者提供一些帮助。

然而，Web似乎是一个被说烂了的话题，并且Web安全的门槛貌似也很低，很多中学生都可以轻易找到很多Web站点的问题。同时，Web安全的书籍也不少，为什么还要读这本关于Web安全的书呢？

安全攻防是一个体系的对抗。再高深、再尖端的技术，也经常在最简单的地方被彻底击败，因此，并不能根据感官上难度的大小来评价一件事情的意义。另外，Web攻防不但不是想象中那么简单（无论是什么原因，有问题的Web站点始终还是多如牛毛），而且还是攻防体系中的一个兵家必争之地：从Web出现以来，在短短的时间之内，它就一统江湖，结束了之前众多的应用入口，变成了各种互联网应用的统一门户。Web自然也成为攻防重地。

这本书的内容是作者和一个有十年经验的安全研究团队一起在实践中磨合出来的。相较于纯粹产业圈朋友的著作来说，这本书更加强调学术和教育圈关注的话题：如何让读者学到更加全面的东西？如何形成体系化的能力？毕竟授人以渔要比授人以鱼重要得多。而相较于纯粹学术圈朋友的著作来说，这本书又具有大量的一线工程实践方面的内容。

因此，如同作者所说，如果你是安全运维人员、开发人员、服务人员，甚至是互联网应用体系的设计人员，认真读一读这本书，都会有很大收益。

杜跃进