在安全圈子里，素有“白帽”、“黑帽”一说。
黑帽子是指那些造成破坏的黑客，而白帽子则是研究安全，但不造成破坏的黑客。白帽子均以建设更安全的互联网为已任。

         Web 是互联网的核心，是未来云计算和移动互联网的最佳载体，因此 Web 安全也是互联网公司安全业务中最重要的组成部分。我近年来的研究重心也在于此，因此将选题范围定在了Web 安全。但其实本书的很多思路并不局限于 Web 安全，而是可以放宽到整个互联网安全的方方面面之中。
        掌握了以正确的思路去看待安全问题，在解决它们时，都将无往而不利。我在 2007 年的时候，意识到了掌握这种正确思维方式的重要性，因此我告知好友:安全工程师的核心竞争力不在于他能拥有多少个 0day，掌多少种安全技术，而是在于他对安全理解的深度，以及由此引申的看待安全问题的角度和高度。我是如此想的，也是如此做的。
        因此在本书中，我认为最可贵的不是那一个个工业化的解决方案，而是在解决这些问题时背后的思考过程。我们不是要做一个能够解决问题的方案，而是要做一个能够“漂亮地”解决问题的方案。这是每一名优秀的安全工程师所应有的追求。

目录（太多了，不一一展示了）

第一篇

我的安全世界观是全书的纲领。在此篇中先回顾了安全的历史，然后阐述了笔者对安全的看法与态度，并提出了一些思考问题的方式以及做事的方法。理解了本篇，就能明白全书中所涉及的解决方案在抉择时的取舍。

第二篇

客户端脚本安全就当前比较流行的客户端脚本攻击进行了深入闸述。当网站的安全做到一定程度后，黑客可能难以再找到类似注入攻击、脚本执行等高风险的漏洞，从而可能将注意力转移到客户端脚本攻击上。客户端脚本安全与浏览器的特性息息相关，因此对浏览器的深入理解将有助于做好客户端脚本安全的解决方案。
如果读者所要解决的问题比较严峻，比如网站的安全是从零开始，则建议跳过此篇，先阅读下一篇“服务器端应用安全”，解决优先级更高的安全问题。

第三篇

服务器端应用安全就常见的服务器端应用安全问题进行了阐述。这些问题往往能引起非常严重的后果，在网站的安全建设之初需要优先解决这些问题，避免留下任何隐患。

第四篇

互联网公司安全运营提出了一个大安全运营的思想。安全是一个持续的过程，最终仍然要由安全工程师来保证结果。

希望对你们有帮助的~需要的评论区说一下或者滴我就可以获取！