專門講解XSS的書好像並沒有幾本,《XSS跨站腳本攻擊剖析與防禦》值得推薦,適合入門者閱讀。本書共分八章,深入淺出介紹了XSS的概念、分類、原理、攻擊(測試)和防禦方法,內容非常的全面,也收錄了互聯網上很多的例子、專家的見解。書中還涉及了XSS蠕蟲、瀏覽器安全策略、Ajax、跨站點請求僞造的知識。
春節放假前兩天開始閱讀這本書,除去春節不碰電腦、不碰書的7天,總共大概花了不到一週的時間讀完,其實也不能說讀完,後面幾個章節沒能仔細閱讀,一方面是自己不好的閱讀習慣,另一方面是自己感覺後面的乾貨不是太多。比如第4章發掘XSS漏洞,裏面也介紹了幾個工具和平臺,個人感覺工具有點老,介紹的時候沒有詳細說明怎麼用。源碼審計的時候也只是大概談了思路和方法,對於初學者來說,缺乏具體可以操作的實例。第5章再講XSS蠕蟲的時候,只是介紹了蠕蟲的流程,工作方式,提到的11年微博漏洞等蠕蟲,沒有附帶源碼,沒有進行詳細的源碼講解。有點吹毛求疵了。
最後,感謝本書作者邱永華先生,讓我們能夠系統的瞭解學習XSS方面的知識。也提醒下其他讀者,閱讀這本書的時候最好能有HTML、javascript基礎,閱讀起來會更順暢一些。