Moderne Webanwendungen basieren auf einer Vielzahl von Technologien, die sich über lange Zeit entwickelt haben und oft zufällig zusammenwirken. Jede dieser Technologien – von HTTP über HTML und CSS bis hin zu JavaScript – weist spezifische Sicherheitsmerkmale auf. Daher ist es für Entwickler entscheidend, sich in dieser komplexen Sicherheitslandschaft auszukennen. Michał Zalewski, ein renommierter Browser-Sicherheitsexperte, erläutert anschaulich, wie Browser funktionieren und warum sie grundsätzlich unsicher sind. Er analysiert das gesamte Browser-Sicherheitsmodell, identifiziert Schwachstellen und gibt Empfehlungen, wie Webentwickler ihre Anwendungen besser schützen können. Zu den Themen gehören: die korrekte Durchführung komplexer Aufgaben wie URL-Parsing und HTML-Filterung, die sinnvolle Nutzung moderner Sicherheitsfeatures wie Strict Transport Security (STS), Content Security Policy (CSP) und Cross-Origin Resource Sharing (CORS), sowie der effektive Einsatz der verschiedenen Varianten der Same-Origin Policy. Zudem werden Strategien vorgestellt, um Mashups und Gadgets einzubetten, ohne Probleme mit der Frame-Navigation-Policy zu riskieren, und wie man nutzergenerierte Inhalte sicher anbietet, ohne in die Content-Sniffing-Falle zu tappen. Das Buch bietet zudem praktische „Spickzettel“ für die Entwicklung sicherer Webanwendungen, die direkt umsetzbare Lösungen für häufige Herausforderungen im Alltag der Entwickler enthalten.
