安全，没有绝对的

没有攻不破的系统，只有还没攻破的系统，有多少条路可以通罗马，大概就有多少种攻克之道。

书中一一剖析各种漏斗原理及攻防之道，既有原理分析，也有实践指导，是一本该行业从业者或是对WEB安全技术有兴趣者值得读读的书，一般看到讲安全的书，一种是讲信息安全理论体系的，基本可以当作大学信息安全教材使用；另一种就是小菜鸟黑客最为喜爱的介绍如何组合使用几个黑客工具，获得对MM加密的QQ空间的访问权限。

本书特点之一是详细枚举了各种存在的攻防技术，及其技术前世今生，作为阿里巴巴公司安全架构师，书中所述实践性强。作者对安全技术系统性的梳理和分析，也体现西安交大高材生深厚功底。

凯文凯利在其《技术元素》一书描述：技术在博弈中不断进步，垃圾邮件>反垃圾邮件>反反垃圾>反反反...无穷尽也。WEB攻防技术亦然，只是作为一名开发开发人员，我们应该尽量做到自己提交的代码或者产品具有最好的安全性，不然就不能怪别人鄙视你了！

XSS、XSRF、Cookie劫持、SQL注入、点击劫持、钓鱼、DDOS攻击一项项技术酸甜苦辣、五味杂陈。刚才在看“楞镜”事件，突然意识到一个问题，想要绝对的安全是遥不可及的，即使你有最先进的技术，最牛逼的人员，系统固若金汤，但是网络设备、线路都是别人的，甚至互联网顶级CA体系页并不是绝对可信（唉，不好说）。在世外桃源你或许可以绝对安全，但是出来混，你如何能保证得了呢？

谈得有点远了！