如果你只能讀一本web security的書

應該是這本了, 又開了眼界了, 有技術書是這麼寫的, 沒有針對這題目有絕對的自信是不能寫出這本書的
The Tangled Web: A Guide to Securing Modern Web Applications

不過, 以下的補充了更多的細節
The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws

Web Application Defender's Cookbook: Battling Hackers and Protecting Users

The Browser Hacker's Handbook