Webエンジニアでテッペン取るならPortSwiggerでセキュリティを勉強しよう - Qiita
みすてむず1 アドカレ(4) の4日目の記事です https://adventar.org/calendars/8652 はじめに 煽りタイトルでスミマセン🙇♂️ 昨今情報漏洩事故が多発しており、セキュリティの重要性が叫ばれています。 事故原因は様々で、ネットワークやプラットフォームの不備、アプリケーションの脆弱性、人的要因などがあります。 Web開発とは切っても切れないWebアプリケーションセキュリティですが、皆様は 脆弱性の原理を正しく理解していますか? 脆弱性の名前や、コードを書く際に気を付けなければならないポイントやフレームワークの使い方をおさえている方は多いかと思いますが、「なぜ」を考えていますか? しっかり理解していくことでコード書く時以外でも設計やレビューでセキュリティの知見に立ったアドバイスができるようになります。また新しいフレームワークやアーキテクチャに出会ったときに
Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー本人の意図した動作であることを検証していないため
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
