Last-modified: 2016-03-25 (金) 13:42:51
セキュリティ/Webチートシート

cookie

HTTPSサイトの場合は、Secure属性をつける

javascript経由でアクセス不要なものは、HttpOnly属性をつける

レスポンスヘッダ

X-FRAME-OPTIONSをSAMEORIGIN(同一性性元に限り許可)かDENY(拒否)指定する

iframe,frame要素での参照制限

入力値チェック

制御コード(最低でもnull)を弾く

nullバイトインジェクション

サニタイジングする

XSS

クライアントサイドからの情報を信用しない

生成時チェック

URLを生成する際は、http:, https:, //以外のスキームを弾く

XSS

その他

攻撃者に有用なメッセージ/エラーメッセージを表示しない