JSやPHPというよりは、ウェブで開発するならセキュリティ対策として最低限やっておかないといけないというもの。
セキュリティのサイトはたくさんありますが、自分がわかりやすかったのは下記のサイト。
・ウェブ開発のセキュリティ対策わかりやすかったサイト
http://shared-blog.kddi-web.com/webinfo/129
主に3大疾病みたいな3大攻撃。
・XSS(クロスサイトスクリプティング)
・SQLインジェクション
・CSRF(クロスサイトリクエストフォージェリー)
いろいろなサイトをみていても、それぞれの攻撃がどこからくるのかという部分がわかりにくかったので、簡単にまとめると、XSSとSQLインジェクションは、ユーザーの入力項目から。CSRFはリンクなどを踏ませて偽装リクエストを完了させるなどです。
よく聞く上の二つに加え、CSRFという4文字単語。ほかの単語に比べてジュエリーみたいな言葉も。
同じクロスサイトならXSSのXSを使って、XSRFとしたほうが覚えやすいところですが、Fのフォージェリーさえ覚えればわかりやすいです。forjeryは、英語で「偽装」です。クレジットの決済リスエストを偽装するというもの。
CSRFは、QUOINEXではまったJWTみたいな認証を使うのもありですね。
WordPressなら、wp_nonce_fieldをつかった認証とか。
セキュリティはやっておいて損はないです。
各攻撃に対する対策は、上記のサイトに書かれていて、それほど大変なものではないです。
さらに参考にしたサイトをメモで残しておきます。
IPAのサイトはわかりやすかったです。
https://www.ipa.go.jp/security/awareness/vendor/programming/index.html
・参考にしたサイト
https://blog.codecamp.jp/programming-html-escape
https://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_05.html
https://www.ibm.com/developerworks/jp/web/library/wa-vulnerabilities/index.html
https://www.websec-room.com/2013/07/28/876
https://blogs.yahoo.co.jp/dk521123/35603506.html
