基本上覆盖了常见的安全漏洞,全书以攻-防-攻-防的脉络将web安全的要点梳理了一遍,除去框架安全漏洞,网络层安全漏洞,ddos攻击等等,常见的几种安全漏洞基本上可以以token,变量检查,特殊字符过滤,缓存设置等固定方式拦截,以前看其他部门有个开发文档,上面列出了常见安全注意事项,然后由开发完成编码后挨个确认,觉得这种方式挺好。另外一方面,其实有许多漏洞并非技术问题,而是业务逻辑问题,当业务复杂到一定程度,尤其是是还需要跟多个系统进行交互时,就很容易在某个业务点考虑不周全成为漏洞,而两个系统的开发由于对对方系统不熟悉,都很容易忽视掉。
有关键情节透露