|序言|

2012年農曆春節，我回到了浙西的老家，外麵白雪皚皚。在這與網絡隔離的小鄉村裏，在這可以夜不閉戶的小鄉村裏，過著與網絡無關、與安全無關的生活，而我終於可以有時間安安靜靜拜讀吳翰清先生的這本大作了。

認識吳翰清先生源於網絡、源於安全，並從網絡走向生活，成為朋友。他對於安全技術孜孜不倦的研究，使得他年紀輕輕便成為係統、網絡、Web等多方麵安全的專家；他對於安全技術的分享，創建了“幻影旅團”（ph4nt）組織，培養了一批安全方麵的技術人才，並帶動了整個行業的交流氛圍；他和同事在大型互聯網公司對安全方麵的不斷實踐，全麵保護著阿裏巴巴集團的安全；他對於安全的反思和總結並發布在他的博客上，使得我們能夠更為深入地理解安全的意義，處理安全問題的方法論。而今天，很幸運，我們能係統的地看到吳翰清先生多年在大型互聯網公司工作實踐、總結反思所積累的安全觀和Web安全技術。

中國人自己編寫的安全專著不多，而在這為數不多的書中，絕大部分也都是“黑客攻擊”速成手冊。這些書除了在技術上僅立足於零碎的技術點、工具使用手冊、攻擊過程演示，不係統之外，更為關鍵的是，它們不是以建設者的角度去解決安全問題。吳翰清先生是我非常佩服的“白帽子”，他和一群誌同道合的朋友，一直以建設更安全的互聯網為己任，係統地研究安全，積極分享知識，為中國的互聯網安全添磚加瓦。而這本書也正是站在白帽子的視角，講述Web安全的方方麵麵，它剖析攻擊原理，目的是讓互聯網開發者、技術人員了解原理，並通過自身的實踐，告訴大家分析這些問題的方法論、思想以及對應的防範方案。

最讓我共鳴的是“安全運營”的思路，我相信這也是吳翰清先生這麼多年在互聯網公司工作的最大收獲之一，因為運營是互聯網公司的最大特色和法寶。安全是一個動態的過程，因為敵方攻擊手段在變，攻擊方法在變，漏洞不斷出現；我方業務在變，軟件在變，人員在變，妄圖通過一個係統、一個方案解決所有的問題是不現實的，也是不可能的，安全需要不斷地運營、持續地優化。

瑞雪兆豐年，一直在下的雪預示著今年的豐收。我想在經曆了2011年中國互聯網最大安全危機之後，如白雪一樣純潔的《白帽子講Web安全》應該會給廣大的從事互聯網技術人員帶來更多的幫助，保障中國互聯網的安全，迎來互聯網的又一個春天。

季昕華 Benjurry