七階 » Webアプリを開発したあとにとりあえずチェックするリストWebアプリを開発した時にとりあえずチェックするものリスト(サンプルコードはPerlです) Apacheをパッケージインストールした後にとりあえず無効化するオプションとモジュールの続編です。 IPAの「安全なウェブサイトの作り方」改訂第4版を読むのが最も確実 まだ十分ではないが一旦晒します… XSS対策 Text::Xslate等、自動エスケープに対応したテンプレートエンジンを利用している <script>要素の中に動的な埋込みをしていない 補足1 プログラム中でHTML生成を行う場合、要素の属性値のセット時にエスケープしている 補足2 CSRF対策 更新系処理の際、パラメーターのセッションID等でユーザの意図した操作で来たリクエストである事を検証している Session Fixation対策 ログイン処理の際必ずセッションIDを再発行している ※ Catalyst::Plugin::S
