如何学习 Web 应用程序安全性

学习 Web 应用程序安全并不一定很痛苦。事实上，我认为它和其他任何主题一样，甚至不需要那么长时间。有一些资源很容易学习，尤其适合那些只想学习 Web 安全基础知识的人。

为什么开发人员应该了解 Web 应用程序安全性？

每个应用程序都需要安全，因为每个应用程序都可能而且肯定会以任何你能想到的方式受到攻击，尤其是在它变得越来越流行的情况下。攻击应用程序的方法可能有数百种，任何东西都可能受到攻击。

因此，至少知道如何避免最严重的安全漏洞是至关重要的。

现在，如果公司有专门的安全专家，那么开发人员可能就不需要知道那么多了。这些专家会作为后援，说：“嘿，我们需要在这里验证表单输入，并在这里进行转义。”

然而，如果公司没有专门的安全专家，那么确保应用程序安全的责任就完全落在我们开发人员身上了。无论如何，即使有安全专家，开发人员最好也了解安全知识。这样，我们就可以自己防御最重要的安全漏洞。这样，安全专家就可以充当我们的增援，而不是唯一的防御层。

了解至少一些基础知识很重要。

越多越好，公司中越资深的开发人员和/或架构师可能就越需要了解这一点。

然而，我们可能没必要了解所有信息。就像编程中的大多数其他事情一样，如果我们知道需要注意什么，那么在需要的时候就可以随时查阅。我们还可以使用安全检查表，甚至可以引入第三方和专家来审核我们的应用程序并提供更多指导。

以下是我作为开发人员学习 Web 应用程序安全时使用的一些资源。我发现它们都非常棒，强烈推荐。

我超爱Frontend Masters。我觉得他们的课程是入门主题的最佳选择。Mike North 的网络安全课程也不例外。

这门课程对前端开发者来说，是一篇非常棒的网络安全入门课程。它解决了一些非常重要的问题。如果你完全不从事前端 Web 开发，我建议你跳过这门课程。

它只有几个小时长，所以完成它不会花很长时间。

这篇文章太棒了。篇幅很长，可能需要不到一小时到几个小时才能读完。

它讲解了Web开发中最紧迫的安全问题，涵盖了前端和后端。我强烈推荐给大家。

另外，除非你想很好地学习 Web 应用程序安全性，或者你还想学习某些特定的东西，否则我认为就此打住就可以了。

接下来的工作很繁琐，但如果您真的想学习大量有关 Web 应用程序安全性的知识，请转到此页面并阅读备忘单。

你可以跳过那些与你不相关的内容，也可以略读你想读的内容，甚至可以只选择一两篇通读。你读到的任何内容都会成为有用的知识。如果你不确定该读哪些内容，最好优先考虑那些与OWASP Top 10相关的内容。

总的来说，本系列文章涵盖了您需要了解的有关 Web 应用程序安全的所有内容。其他内容最好留给安全专家审核后再告诉您。

还可以阅读有关安全设计原则的此页面，以了解安全背后的一些主要原则。

4. 更多详细信息请参阅参考资料。

以前的资源已经足够了，但是如果您想了解某些事情的更多详细信息，可以查看：

例如，如果您想了解有关 cookie 的更多信息、它们的工作原理及其设置，您可以查看MDN cookie 页面。

或者，如果您想了解有关 CSP（内容安全策略）的更多详细信息，您可以查看Google 开发者上的 CSP 页面或MDN 上的 CSP 页面。

嗯，我其实没有亲身经历如何继续下去。如果评论区有人想补充，那就尽管说吧。

不过，我想接下来的步骤可能是：

这就是我的所有想法。如果您有任何意见或建议，请留言，特别是如果您想分享更多您认为对初学者有用的资源。