Last-modified: 2016-03-25 (金) 13:42:51
cookie †
HTTPSサイトの場合は、Secure属性をつける †
javascript経由でアクセス不要なものは、HttpOnly属性をつける †
レスポンスヘッダ †
X-FRAME-OPTIONSをSAMEORIGIN(同一性性元に限り許可)かDENY(拒否)指定する †
iframe,frame要素での参照制限
入力値チェック †
制御コード(最低でもnull)を弾く †
nullバイトインジェクション
サニタイジングする †
XSS
クライアントサイドからの情報を信用しない †
生成時チェック †
URLを生成する際は、http:, https:, //以外のスキームを弾く †
XSS
その他 †
攻撃者に有用なメッセージ/エラーメッセージを表示しない †