前端開發資安入門｜你不能忽視的漏洞對策必備知識

　　因應漏洞所必備的知識
　　等事情發生了才說不知道就太遲了

　　建立Web應用程式資安壁壘必備知識集大成

　　本書旨在成為每位前端開發工程師於開發Web應用程式時的資安基本知識入門書。

　　書中章節針對「HTTP」、「來源」等基本Web資安主題，以及「跨站腳本攻擊(XSS)」與「跨站請求偽造(CSRF)」等衝著前端而來的資安攻擊機制，都準備了實作的篇章。讓各位讀者能以同一套範本程式碼作為學習的舞台，一步一步建構起學習的成就感。

　　當然，保護使用者免於遭受攻擊的方法也會分享給大家。除了每個攻擊手法的因應措施之外，「如何搭載驗證功能」、「如何安全地使用JavaScript函式庫」等書中環節，相信無論是對各位實際開發時、或是在研擬如何防範漏洞時都有所助益，也期待各位能在當中找到適合用來提升自己資安防護的提示。

　　為了讓第一次接觸資安的讀者可以循序漸進，書中針對基本的名詞逐一介紹，且跟讀者們所分享的主題也精挑細選過，只要您是前端設計工程師，相信本書的內容都會是您應該了解的基本功。

　　目標讀者
　　．稍具工作資歷的前端工程師
　　．想開始學習Web資安的Web工程師
　　．想要透過實際演練程式碼來學習Web應用程式資安防範措施的讀者
 

前言
第1章 Web資安簡介
第2章 實作準備
第3章 HTTP
第4章 來源為Web應用程式之間所帶來的存取限制
第5章 跨站腳本攻擊（XSS）
第6章 其他被動式攻擊（跨站請求偽造、點擊劫持、開放重定向）
第7章 驗證與授權
第8章 函式庫面臨的資安風險
附錄 主要篇章未講解的延伸學習
索引

 

作者簡介



平野昌士(Hirano Masashi)

　　Cybozu, Inc.的前端工程師。平時從事前端開發日常業務的同時也有參與OSS活動跟JSConf JP社群營運。獲選為Node.js的核心協作人員(Committer)。熱愛Web與JavaScript，撰寫許多部落格與雜誌文章、也在活動進行演講。

　　Twitter：shisama_
　　GitHub：shisama

監修者簡介

Hasegawa Yosuke

　　擔任Secure Sky Technology Inc.的CTO。發現許多Internet Explorer、Mozilla Firefox等Web應用程式漏洞。在Black Hat Japan 2008，南韓POC 2008、2010，OWASP AppSec APAC 2014，CODE BLUE 2016等多項活動進行演講。

後藤Tsugumi(Goto Tsugumi)

　　Secure Sky Technology Inc.。從事漏洞診斷業務，領導公司內部編寫、審閱提供給漏洞診斷人員的業務手冊。