stefafafan の fa は3つです

"すてにゃん" こと id:stefafafan のブログです

『フロントエンド開発のためのセキュリティ入門』を読んだ

以前から気になっていた表題の本を読み終えた。

割とタイトル通りの内容で、代表的なWebアプリケーションの脆弱性 (XSSCSRF、クリックジャッキングなど*1)をそもそもどういうものなのかという紹介から対策についてわかりやすく解説されていた。ところどころハンズオン形式で実際に手を動かして脆弱性を体感し、対策の実装を入れるところまであって丁寧でした。

Webアプリケーションエンジニアとして働いてきた自分としてはわりと知ってる内容だなとササっと読んでいましたが、細かい部分で知らないこともあった(例えばDOMPurifyやSanitizer APIが紹介されていたけど自分はこのへんキャッチアップできてなかった)のでよかった。

github.com

developer.mozilla.org

フロントエンド開発のためのというタイトルになっているために、サーバサイド開発がメインだったりすると若干「自分は読まなくていいのかな」感が出てきそうな気がするけど、内容としては最初に述べたように代表的なWebアプリケーションの脆弱性をいくつか取り上げているので、Webアプリケーション開発に携わっていれば十分読む価値があると思いました。確かに、サーバサイド側の脆弱性対策はスコープ外でしたが、それについては他の本などで追加で学ぶと良さそう。

これからセキュリティについて知りたいWeb系エンジニア(新卒など)にまず読んでもらう本として、とても読みやすくわかりやすいのでおすすめできるかと思いました。

*1:OWASP Top 10が参照されていますが、全てカバーできているわけではなく、一部だけピックアップされています