本书是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。众所周知，Ajax具备变革互联网的潜力，但危险的新安全威胁同样随之而来。本书揭示Ajax框架与生俱来的安全弱点密集区域，为开发人员创造安全应用提供指导。每一章由一个Ajax安全谬误开始，随后即将其揭穿。通读本书你将看到很多用于阐述关键知识点的真实Ajax安全漏洞案例。在书中还讲到保护Ajax应用的特殊方法，包括每种主要Web编程语言（.NET、Java和PHP）及流行新语言Ruby on Rails。

如今，越来越多的网站都被改写成AJAX应用程序，甚至传统的桌面软件也通过AJAX，迅速转向了Web领域。但是在这个过程中，人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了AJAX应用程序，那么它们会比传统桌面程序存在更多的安全漏洞。AJAX开发人员无时无刻都希望有一本指南，能够指导他们如何来保护自己的应用程序——他们终于等到了这一天。

《AJAX安全技术》一书，系统地分析了当今最危险的AJAX漏洞用现实中的代码阐述了大量关键性的安全理念，并对实际中的案例，例如MySpace的Samy蠕虫病毒，进行了详尽分析。更重要的是，不管你使用何种主流的Web编程语言和环境，例如.NET、.Java或PHP，本书都给出了许多具体、前沿的建议。通过本书，你将了解到以下几点：

·如何降低AJAX特有的安全风险，包括过度细分的Web服务、 应用程序控制流程篡改，以及对程序逻辑的操控。

·如何预防针对AJAX的攻击手段，包括JavaScript劫持、持久化存储窃取，以及对mashup程序的渗透。

如何避免基于XSS和SQL注入的攻击，包括由AJAX衍生出来的SQL注入攻击(只需要两次请求就可以暴露整个后台数据库)。

·如何使用Google Gears和Dojo开发安全的离线AJAX应用程序。

·如何发现Prototype、DWR及ASRNET AJAX等AJAX框架中的安全问题以及我们自己仍需实现哪些功能。

·如何更安全地编写AJAX代码，如何确定并修改已有代码中的安全缺陷。

不管是编写或者维护AJAX应用程序的开发人员、架构师，还是打算或正在设计新AJAX程序的项目经理，以及包括QA和渗透测试人员在内的所有软件安全人士，《AJAX安全技术》—书都是必不可少的。

第1章 AJAX安全介绍

第2章 劫持

第3章 Web攻击

第4章 AJAX攻击层面

第5章 AJAX代码的复杂性

第6章 AJAX应用程序的透明度

第7章 劫持AJAX应用程序

第8章 攻击客户端存储

第9章 离线AJAX应用程序

第10章 请求来源问题

第11章 Web Mashup和聚合程序

第12章 攻击表现层

第13章 JavaScript蠕虫

第14章 测试AJAX应用程序

第15章 AJAX框架分析

附录A Samy蠕虫源代码

附录B Yamanner蠕虫源代码